Dlaczego powinieneś (nadal) ufać Nest bardziej niż Ring
Gniazdo
Wczoraj Ring ogłosił, że zacznie wymagać uwierzytelniania dwuskładnikowego dla wszystkich kont użytkowników ze skutkiem natychmiastowym. I choć to świetny początek, to nie wystarczy. Firma może i powinna zrobić więcej. Prawda jest taka, że nadrabia zaległości z inną firmą produkującą kamery bezpieczeństwa: Nest. Jeśli musisz wybierać, powinieneś zaufać Nestowi przed Ring, a oto dlaczego.
Kamery bezpieczeństwa, które umieszczasz w swoim domu, są naprawdę przerażającą propozycją. Pomyśl o tym — umieszczasz cyfrowy system nagrywania w najbardziej intymnych obszarach swojego życia i aby uzyskać do nich dostęp, potrzebujesz tylko właściwej nazwy użytkownika i hasła. Niebezpieczeństwo związane z tą koncepcją stało się ostatnio aż nazbyt widoczne, ponieważ kolejne raporty pokazywały osoby z aparatami Ring, których konta zostały naruszone.
Aktualizacja, 27.02: Po opublikowaniu tego artykułu rzecznik Ringa skontaktował się z nami z następującym oświadczeniem:
Ring sprawdza lokalizację adresów IP przy każdym logowaniu i podejmuje działania w przypadku wykrycia podejrzanej aktywności. Ponadto użytkownicy Ring są powiadamiani pocztą elektroniczną o każdym nowym urządzeniu klienckim, które loguje się na konto Ring z poprawnymi poświadczeniami, dzięki czemu mogą zmienić hasło do konta, jeśli nie rozpoznają loginu, co powoduje automatyczne wylogowanie wszystkich urządzeń klienckich.
Ring okresowo skanuje różne źródła, zarówno w Internecie, jak i w ciemnej sieci, w poszukiwaniu danych uwierzytelniających, które zostały naruszone w ramach naruszenia niezwiązanego z Ring. Gdy odkryjemy złamane poświadczenia, które pasują do bieżącej nazwy użytkownika i hasła klienta Ring, wyłączamy jego aktualne hasło i wysyłamy wiadomość e-mail do klienta, aby poinformować go, że jego poświadczenia mogły zostać naruszone. Informujemy ich, że muszą natychmiast zmienić swoje hasło, aby wylogować się ze wszystkich urządzeń klienckich i zalecamy włączenie uwierzytelniania dwuskładnikowego.
Częstotliwość dzwonków ogranicza żądania logowania, dzięki czemu ograniczana jest niezwykła liczba prób logowania z jednego adresu IP. W przypadku wielokrotnych prób ograniczenia przepustowości blokujemy i blokujemy adres IP.
Kiedy poprosiliśmy o dokumentację Ring, na którą moglibyśmy wskazać dalsze informacje, Ring odmówił i wskazał nam artykuł CNET, w którym stwierdzono również, że Ring sprawdza hasła pod kątem podejrzanego zachowania.
Jednak CNET wskazuje również na testy przeprowadzone przez VICE, które sugerowały, że te środki bezpieczeństwa nie były stosowane.
Oryginalny artykuł pozostaje nienaruszony poniżej.
Z drugiej strony Nest ma już rozpracowany problem. Firma wdrożyła (lub wdroży) kilka funkcji, których brakuje w Ringu, takich jak rejestrowanie IP, wymagania dotyczące siły hasła, sprawdzanie naruszeń haseł i zapobieganie szybkim próbom logowania.
Google wie, gdzie jesteś dzięki rejestrowaniu IP
Możesz nie zdawać sobie z tego sprawy, ale strony internetowe wiedzą, gdzie jesteś. Twój adres IP ujawnia te informacje za każdym razem, gdy odwiedzasz witrynę. To, czego większość witryn nie robi, to śledzenie miejsca, w którym zwykle się znajdujesz.
Ale Google to robi. Jeśli zawsze logujesz się z Waszyngtonu, ale nagle w ciągu pół godziny przeskakujesz na Florydę lub Chiny, Google zauważy i potraktuje tę próbę logowania jako podejrzaną. Powiadomi Cię i uniemożliwi logowanie, dopóki nie potwierdzisz, że to Ty, a nie ktoś, kto próbuje zalogować się za pomocą hasła z naruszonej bazy danych.
Chociaż jest to umiejętność, którą firma Google po raz pierwszy wprowadziła dla kont Google (dla Gmaila, Kalendarza Google itp.), Niedawno wprowadziła możliwość kont Nest.
Obecnie Ring nie sprawdza lokalizacji Twojego adresu IP pod kątem podejrzanej aktywności. Tak wiele wynika z faktu, że źli aktorzy byli w stanie zalogować się na konta Ring innych użytkowników (chyba że przez zwykłe szczęście zawsze byli bardzo blisko ofiary).
Firma nie wspomniała również o tej funkcji w swojej najnowszej aktualizacji dotyczącej zmian dotyczących prywatności i bezpieczeństwa. A to szkoda, ponieważ zajęłoby to długą drogę do rozwiązania problemu.
Pierścień pozwoli Ci użyć dowolnego hasła bez względu na to, jak słabe
Pierwszą barierą dla Twojego konta jest Twoje hasło i zaskakujące jest to, że Ring pozwoli Ci użyć czegokolwiek. Dla pewności utworzyłem dzisiaj nowe konto, które pozwala mi używać „hasła" jako hasła. To najsłabsze hasło na świecie i żadna strona internetowa, nie mówiąc już o firmie ochroniarskiej, nie powinna na to zezwalać.
Najgorsze jest to, że Ring zna swoje słabe hasło. Na powyższym zrzucie ekranu widać, że Ring mówi, że „hasło” jest słabe. Mimo to pozwoliło mi to jednakowo wykorzystać. Gdybyś zobaczył kogoś, kto miał stanąć przed ciężarówką, nie powiedziałbyś po prostu „hej, to zły pomysł”. Powstrzymałbyś ich przed popełnieniem strasznego błędu. Ale Ring nie powstrzymuje Cię przed użyciem okropnego hasła.
Z drugiej strony Nest sprawdza hasła pod kątem podstawowych wymagań i nie pozwala używać łatwych do odgadnięcia haseł w stylu domyślnym. Prawie głupio jest chwalić Nesta za ten fakt, ponieważ jest to absolutne minimum, które powinna zrobić każda firma ochroniarska, ale Nest to robi, a Ring nie, więc oto jesteśmy.
Nest sprawdza pod kątem złamanych haseł
Tak długo, jak zrzucamy na ciebie bomby prawdy, oto kolejna: ktoś już złamał hasło, którego używasz do poczty e-mail, Adobe, Disqus, Dropbox, Tumbler i xkcd. Kilka razy. Jeśli używasz wszędzie tego samego hasła, powinieneś przestać. Proszę uzyskać menedżera haseł.
Ale możemy powtarzać ten fakt do końca czasu, a ludzie będą ludźmi i nadal będą używać haseł. Więc następną najlepszą rzeczą jest ochrona ludzi przed samymi sobą. Nest sprawdza twoją aktualną nazwę użytkownika i hasło pod kątem znanych naruszeń bazy danych. Jeśli znajdzie dopasowanie, poinformuje Cię o tym i poprosi o zmianę hasła.
Uniemożliwia to hakerom zalogowanie się na Twoje konto przy użyciu poświadczeń, które znaleźli dzięki złym bezpieczeństwu innej witryny. Niestety, Ring nie sprawdza Twoich haseł pod kątem naruszeń baz danych. Jeśli używasz kombinacji nazwy użytkownika i hasła, której dotyczy luka, to do Ciebie należy rozwiązanie tego problemu i rozwiązanie problemu. Zalecamy sprawdzenie HaveIBeenPwned, jeśli jeszcze tego nie zrobiłeś.
Nest używa reCAPTCHA do zapobiegania próbom szybkiego logowania
Jeśli haker nie zna Twojego hasła, może spróbować je odgadnąć. Jednym ze sposobów jest użycie bota do przesłania setek lub tysięcy haseł w nadziei na trafienie. Ale to nie zadziała z kontami Nest (lub Google).
Nest zaimplementował już reCAPTCHA na swojej stronie logowania. Pewnie już z tym się spotkałeś. Jeśli kiedykolwiek musiałeś wybrać „wszystkie przejścia dla pieszych” lub „wszystkie hydranty przeciwpożarowe” z siatki obrazów, to jest to reCAPTCHA. Podstawowa idea jest taka, że jest to test, który „tylko człowiek” może rozwiązać. Spowalnia również próby logowania, nawet jeśli bot w jakiś sposób przejdzie test.
Teoretycznie powinno to uniemożliwić próbom masowego logowania ostateczne odgadnięcie hasła. Niestety Ring nie posiada takich zabezpieczeń. Tak więc źli aktorzy mogą zgadywać, dopóki nie zrozumieją tego prawidłowo (zwłaszcza jeśli masz słabe hasło, na które Ring pozwala).
Oba oferują uwierzytelnianie dwuetapowe, ale w Google lepiej
Dzwonić
Od wczoraj Ring wymaga uwierzytelniania dwuskładnikowego. Począwszy od wiosny, Nest będzie również wymagać tego do swoich kont. To stawia Ringa nieco przed Nestem, ale to nie wszystko.
W obu przypadkach musisz wprowadzić jednorazowy kod PIN, aby zalogować się na swoje konto. W przypadku Ringa otrzymasz to e-mailem lub SMS-em. W przypadku Nest jedyną opcją jest poczta e-mail. Kody jednorazowego użytku wysyłane e-mailem lub SMS-em są lepsze niż nic, ale nie jest to najbezpieczniejsza wersja uwierzytelniania dwuskładnikowego.
Jeśli potrzebujesz większego bezpieczeństwa, powinieneś używać aplikacji uwierzytelniającej powiązanej z telefonem. W przypadku kodów wysyłanych na SMS lub e-mail, złe zakupy muszą po prostu naruszyć Twoje konta. Ale dzięki aplikacji uwierzytelniającej musieliby ukraść twoje urządzenie (a w tym momencie kamery bezpieczeństwa to najmniejszy z twoich problemów).
Ma to znaczenie, ponieważ jeśli przeniesiesz swoje konto Nest na konto Google, nie tylko uzyskasz większe bezpieczeństwo niż obecnie oferuje Nest (czyli więcej niż Ring), możesz zabezpieczyć swoje konto Google za pomocą aplikacji uwierzytelniającej.
Google uważa, że jego konta są tak bezpieczne, że nie wymagają uwierzytelniania dwuskładnikowego, w przeciwieństwie do Nest, ale uważamy, że powinieneś je włączyć, jeśli masz kamery bezpieczeństwa.
To kwestia serca
Nie rozmawialiśmy nawet o różnicach w produktach, ale jeśli chcesz poznać naszą opinię, uważamy, że kamery Nest są również lepsze niż kamery Ring. Integracja z innymi produktami Nest (takimi jak Nest Hub) jest znacznie ściślejsza niż integracja między produktami Ring i Amazon Echo.
Ale nawet jeśli kamery Nest i Ring były dokładnie takie same pod względem jakości, jasne jest, że nadal powinieneś iść z Nest.
Podczas gdy Ring szybko obwinia swoich klientów o problemy z bezpieczeństwem i wolno wdraża rozwiązania, Nest (i Google) szybko wdraża rozwiązania i wolno obwinia klientów.
W rzadkich przypadkach, gdy coś się wydarzyło, na przykład zła integracja między Wink i Nest, firma brała na siebie odpowiedzialność i szybko pracowała nad rozwiązaniem problemu. Właśnie takiego zachowania oczekujesz od producenta aparatu bezpieczeństwa.
Działania Nest pokazują, że ciężko pracuje, aby zdobyć Twoje zaufanie i zabezpieczyć Twoje konta. A działania Ringa wydają się absolutnym minimum. Więc wybór jest jasny, wybierz Nest przed dzwonkiem dla kamer bezpieczeństwa.