Почему вы должны (по-прежнему) доверять Nest больше, чем Ring
Гнездо
Вчера Ring объявила, что немедленно начнет требовать двухфакторную аутентификацию для всех учетных записей пользователей. И хотя это отличное начало, этого недостаточно. Компания может и должна делать больше. Правда в том, что он играет в догонялки с другой компанией по производству камер безопасности: Nest. Если вам нужно выбирать, вы должны доверять Nest перед Ring, и вот почему.
Камеры видеонаблюдения, которые вы устанавливаете в своем доме, — это, честно говоря, страшное предложение. Подумайте об этом — вы помещаете цифровую систему записи в самые интимные области своей жизни, и для доступа к ним все, что вам нужно, — это правильное имя пользователя и пароль. Опасность этой концепции стала слишком очевидной в последнее время, когда отчет за отчетом показывали людей с камерами Ring, чьи учетные записи были скомпрометированы.
Обновление от 27 февраля: после публикации этой статьи представитель Ring обратился к нам со следующим заявлением:
Ring проверяет местоположение IP-адресов при каждом входе в систему и предпринимает действия при обнаружении подозрительной активности. Кроме того, пользователи Ring уведомляются по электронной почте о любом новом клиентском устройстве, которое входит в учетную запись Ring с правильными учетными данными, чтобы они могли изменить пароль своей учетной записи, если они не узнают логин, что автоматически отключает все клиентские устройства.
Ring периодически сканирует различные источники, как в Интернете, так и в даркнете, на предмет учетных данных, которые были скомпрометированы в результате взлома, не связанного с Ring. Когда мы обнаруживаем скомпрометированные учетные данные, которые совпадают с текущим именем пользователя и паролем клиента Ring, мы отключаем их текущий пароль и отправляем клиенту электронное письмо, чтобы сообщить ему, что его учетные данные могли быть скомпрометированы. Мы сообщаем им, что они должны немедленно изменить свой пароль, чтобы выйти из всех клиентских устройств, и рекомендуем им включить двухфакторную аутентификацию.
Скорость звонка ограничивает запросы на вход в систему, поэтому необычное количество попыток входа с одного IP-адреса ограничивается. При повторных попытках троттлинга мы баним и блокируем IP-адрес.
Когда мы запросили документацию Ring, на которую мы могли бы указать для получения дополнительной информации, Ring отказался и указал нам на статью CNET, в которой также говорилось, что Ring проверяет пароли на предмет подозрительного поведения.
Однако CNET также указывает на тестирование, проведенное VICE, которое показало, что эти меры безопасности не применялись.
Оригинальная статья остается нетронутой ниже.
С другой стороны, Nest уже разобралась с проблемой. Компания реализовала (или будет внедрять) несколько функций, которых не хватает Ring, таких как ведение журнала IP-адресов, требования к надежности пароля, проверка взломанного пароля и предотвращение попыток быстрого входа в систему.
Google знает, где вы находитесь, благодаря регистрации IP-адресов
Вы можете этого не осознавать, но веб-сайты знают, где вы находитесь. Ваш IP-адрес раскрывает эту информацию всякий раз, когда вы посещаете сайт. Чего большинство сайтов не делает, так это не отслеживает, где вы обычно находитесь.
Но Google делает. Если вы всегда входите в систему из Вашингтона, округ Колумбия, но внезапно через полчаса перескакиваете во Флориду или Китай, Google заметит и расценит эту попытку входа как подозрительную. Он уведомит вас и предотвратит вход в систему до тех пор, пока вы не подтвердите, что это вы, а не кто-то, кто пытается войти в систему с паролем из взломанной базы данных.
Хотя Google впервые представил эту возможность для учетных записей Google (для Gmail, Календаря Google и т. д.), недавно эта возможность появилась в учетных записях Nest.
Сейчас Ring не проверяет ваше IP-адрес на наличие подозрительной активности. Это видно из того факта, что злоумышленники могли войти в учетные записи других пользователей Ring (если только по чистой случайности они не всегда были очень близко к жертве).
Компания также не упомянула эту функцию в своем последнем обновлении, касающемся изменений в конфиденциальности и безопасности. И это позор, потому что это будет иметь большое значение для решения проблемы.
Ring позволит вам использовать любой пароль, каким бы слабым он ни был
Первым барьером для вашей учетной записи является ваш пароль, и удивительно видеть, что Ring позволяет вам использовать что угодно. На всякий случай я создал новую учетную запись сегодня, и она позволила мне использовать «пароль» в качестве пароля. Это самый слабый пароль в мире, и ни один веб-сайт, не говоря уже о охранной компании, не должен его разрешать.
Хуже всего то, что Ring знает слабый пароль. Вы можете видеть на скриншоте выше, что Ring говорит, что «пароль» ненадежен. Тем не менее, это позволило мне использовать его все равно. Если бы вы увидели, что кто-то собирается встать перед грузовиком, вы бы не сказали: «Эй, это плохая идея». Ты помешаешь им совершить ужасную ошибку. Но Ring не мешает вам использовать ужасный пароль.
Nest, с другой стороны, проверяет ваши пароли на соответствие основным требованиям и не позволяет вам использовать простые для угадывания пароли по умолчанию. Почти глупо хвалить Nest за этот факт, потому что это минимум, который должна делать любая охранная компания, но Nest делает это, а Ring нет, так что вот мы здесь.
Nest проверяет пароли на взломанные
Пока мы сбрасываем на вас бомбы правды, вот еще одно: кто-то уже скомпрометировал тот единственный пароль, который вы используете для своей электронной почты, Adobe, Disqus, Dropbox, Tumbler и xkcd. Несколько раз. Если вы везде используете один и тот же пароль, остановитесь. Пожалуйста , установите менеджер паролей.
Но мы можем повторять этот факт до скончания века, и люди будут людьми и будут продолжать использовать пароли повторно. Так что следующая лучшая вещь — защитить людей от самих себя. Nest проверяет ваше текущее имя пользователя и пароль на наличие известных нарушений базы данных. Если он найдет совпадение, он сообщит вам об этом и попросит изменить пароль.
Это не позволяет хакерам войти в вашу учетную запись, используя учетные данные, которые они нашли благодаря плохой безопасности какого-либо другого сайта. К сожалению, Ring не проверяет ваши пароли на предмет взлома базы данных. Если вы используете скомпрометированную комбинацию имени пользователя и пароля, вы должны выяснить это и исправить проблему. Мы рекомендуем вам проверить HaveIBeenPwned, если вы еще этого не сделали.
Nest использует reCAPTCHA для предотвращения попыток быстрого входа в систему
Если хакер не знает ваш пароль, он может попытаться угадать его. Один из способов — использовать бота для отправки сотен или тысяч паролей в надежде на успех. Но это не будет работать с учетными записями Nest (или Google).
Nest уже внедрила reCAPTCHA на своей странице входа. Возможно, вы даже сталкивались с этим раньше. Если вам когда-либо приходилось выбирать «все пешеходные переходы» или «все пожарные гидранты» из сетки изображений, это reCAPTCHA. Основная идея заключается в том, что это тест, который может решить «только человек». Это также замедляет попытки входа в систему, даже если бот каким-то образом проходит тест.
Теоретически это должно помешать массовым попыткам входа в систему в конечном итоге угадать ваш пароль. К сожалению, у Ring нет такой защиты. Таким образом, злоумышленники могут свободно угадывать, пока не получат правильный ответ (особенно если у вас слабый пароль, что позволяет Ring).
Оба предлагают двухфакторную аутентификацию, но вам лучше с Google
Звенеть
Начиная со вчерашнего дня, Ring требует двухфакторной аутентификации. Начиная с весны, Nest потребует его и для своих учетных записей. Это ставит Ring немного впереди Nest, но это еще не все.
В обоих случаях вам потребуется ввести одноразовый PIN-код для входа в свою учетную запись. Для Ring вы получите это по электронной почте или в текстовом сообщении. Для Nest электронная почта — единственный вариант. Одноразовые коды, отправленные по электронной почте или в текстовом сообщении, лучше, чем ничего, но это не самая безопасная версия двухфакторной аутентификации.
Если вы хотите большей безопасности, вы должны использовать приложение для проверки подлинности, привязанное к вашему телефону. С кодами, отправленными в тексте или по электронной почте, плохие покупки просто должны скомпрометировать ваши учетные записи. Но с приложением-аутентификатором им нужно будет украсть ваше устройство (и в этот момент камеры безопасности — наименьшая из ваших проблем).
Это важно, потому что, если вы перенесете свою учетную запись Nest в учетную запись Google, вы не только получите больше безопасности, чем предлагает Nest в настоящее время (что больше, чем Ring), вы также можете защитить свою учетную запись Google с помощью приложения для аутентификации.
Google считает, что его учетные записи настолько безопасны, что не требуют двухфакторной аутентификации, в отличие от Nest, но мы считаем, что вам следует включить ее, если у вас есть камеры видеонаблюдения.
Это дело сердца
Мы даже не говорили о разнице в продуктах, но, если вам интересно наше мнение, мы считаем, что камеры Nest лучше, чем камеры Ring. Интеграция с другими продуктами Nest (например, Nest Hub) намного теснее, чем интеграция между продуктами Ring и Amazon Echo.
Но даже если бы камеры Nest и Ring были абсолютно одинаковыми с точки зрения качества, ясно, что вам все равно следует использовать Nest.
В то время как Ring быстро обвиняет своих клиентов в проблемах безопасности и медленно внедряет решения, Nest (и Google) быстро внедряют решения и медленно обвиняют клиентов.
В тех редких случаях, когда что-то случалось, например, плохая интеграция между Wink и Nest, компания брала на себя ответственность и быстро работала над решением проблемы. Это именно то поведение, которое вы хотите от производителя камеры видеонаблюдения.
Действия Nest показывают, что компания прилагает все усилия, чтобы завоевать ваше доверие и защитить ваши учетные записи. И действия Ринга кажутся абсолютным минимумом. Итак, выбор очевиден: выбирайте Nest перед Ring для своих камер видеонаблюдения.