Varför du (fortfarande) borde lita på Nest mer än ring
Bo
I går meddelade Ring att det skulle börja kräva tvåfaktorsautentisering för alla användarkonton med omedelbar verkan. Och även om det är en bra början, räcker det inte. Företaget kan och bör göra mer. Sanningen är att det spelar inhopp för ett annat säkerhetskameraföretag: Nest. Om du måste välja bör du lita på Nest före Ring, och här är varför.
Säkerhetskameror som du sätter i ditt hem är ärligt talat ett skrämmande förslag. Tänk på det – du placerar ett digitalt inspelningssystem i de mest intima områdena i ditt liv, och för att komma åt dem behöver du bara rätt användarnamn och lösenord. Faran i det konceptet blev alltför uppenbar nyligen eftersom rapport efter rapport visade personer med Ring-kameror som hade fått sina konton äventyrade.
Uppdatering, 27/2: Efter att ha publicerat den här artikeln kontaktade en talesperson för Ring oss med detta uttalande:
Ring kontrollerar platsen för IP:er för varje inloggning och vidtar åtgärder när misstänkt aktivitet upptäcks. Dessutom meddelas Ring-användare via e-post om alla nya klientenheter som loggar in på ett Ring-konto med korrekta referenser så att de kan ändra sitt kontolösenord om de inte känner igen inloggningen, vilket automatiskt loggar ut alla klientenheter.
Ring skannar med jämna mellanrum olika källor, både på internet och den mörka webben, efter autentiseringsuppgifter som äventyrats som en del av ett icke-Ring-relaterat intrång. När vi upptäcker komprometterade autentiseringsuppgifter som matchar en Ring-kunds nuvarande användarnamn och lösenord, inaktiverar vi deras nuvarande lösenord och skickar ett e-postmeddelande till kunden för att meddela att deras autentiseringsuppgifter kan ha blivit utsatta. Vi låter dem veta att de måste ändra sitt lösenord omedelbart för att logga ut alla klientenheter och rekommenderar att de aktiverar tvåfaktorsautentisering.
Ringhastigheten begränsar inloggningsförfrågningar så att en ovanlig mängd inloggningsförsök från en enda IP stryps. Om det förekommer upprepade strypsförsök förbjuder vi och blockerar IP-adressen.
När vi bad om Ring-dokumentation som vi kunde peka på för ytterligare information, avböjde Ring och hänvisade oss till en CNET-artikel där det också stod att Ring kontrollerar lösenord för misstänkt beteende.
Men CNET pekar också på tester från VICE som antydde att dessa säkerhetsåtgärder inte var på plats.
Den ursprungliga artikeln lämnas intakt nedan.
Nest, å andra sidan, har redan löst problemet. Företaget implementerade (eller kommer att implementera) flera funktioner som Ring saknar, som IP-loggning, krav på lösenordsstyrka, kontroller av brutna lösenord och förhindrande av snabba inloggningsförsök.
Google vet var du är tack vare IP-loggning
Du kanske inte inser det, men webbplatser vet var du är. Din IP-adress avslöjar den informationen när du besöker en webbplats. Vad de flesta sajter inte gör är att hålla reda på var du vanligtvis är.
Men det gör Google. Om du alltid loggar in från Washington DC men plötsligt hoppar till Florida eller Kina på en halvtimme kommer Google att märka och behandla det inloggningsförsöket som misstänkt. Det kommer att meddela dig och förhindra inloggningen tills du kan bekräfta att det är du och inte någon som försöker logga in med ett lösenord från en databas som har brutits.
Även om det är en förmåga som Google först introducerade för Google-konton (för Gmail, Google Kalender, etc.), tog den nyligen möjligheten till Nest-konton.
Just nu kontrollerar inte Ring din IP-plats för misstänkt aktivitet. Så mycket framgår av det faktum att dåliga skådespelare kunde logga in på andra användares Ring-konton (såvida de inte av ren tur alltid var väldigt nära offret).
Företaget nämnde inte heller funktionen i sin senaste uppdatering om sekretess- och säkerhetsändringar. Och det är synd eftersom det skulle räcka långt för att lösa problemet.
Ring låter dig använda vilket lösenord som helst oavsett hur svagt
Det första hindret för ditt konto är ditt lösenord, och det är förvånande att se att Ring låter dig använda vad som helst. Bara för att vara säker skapade jag ett nytt konto idag, och det lät mig använda "lösenord" för mitt lösenord. Det är världens svagaste lösenord, och ingen webbplats, än mindre ett säkerhetsföretag, borde tillåta det.
Det värsta är att Ring vet att det är ett svagt lösenord. Du kan se på skärmdumpen ovan att Ring säger att "lösenordet" är svagt. Ändå lät det mig använda allt på samma sätt. Om du såg någon på väg att kliva framför en lastbil skulle du inte bara säga "hej, det är en dålig idé." Du skulle hindra dem från att göra ett fruktansvärt misstag. Men Ring hindrar dig inte från att använda ett fruktansvärt lösenord.
Nest, å andra sidan, kontrollerar dina lösenord för grundläggande krav och låter dig inte använda standardlösenord som är lätta att gissa. Det känns nästan dumt att berömma Nest för det faktumet eftersom det är det absoluta minimum som ett säkerhetsföretag borde göra, men Nest gör det, och Ring gör det inte, så här är vi.
Nest kontrollerar efter intrångade lösenord
Så länge vi släpper sanningsbomber över dig, här är en annan: någon har redan kompromissat med det enda lösenordet du använder för din e-post, Adobe, Disqus, Dropbox, Tumbler och xkcd. Flera gånger. Om du använder samma lösenord överallt bör du sluta. Vänligen skaffa en lösenordshanterare.
Men vi kan upprepa det faktum till tidens slut, och folk kommer att fortsätta att återanvända lösenord. Så det näst bästa är att skydda människor från sig själva. Nest kontrollerar ditt nuvarande användarnamn och lösenord mot kända databasintrång. Om den hittar en matchning kommer den att meddela dig och att du ska ändra ditt lösenord.
Det förhindrar hackare från att logga in på ditt konto med hjälp av referenser de hittat tack vare någon annan webbplatss dåliga säkerhet. Tyvärr kontrollerar inte Ring dina lösenord mot databasintrång. Om du använder en komprometterad kombination av användarnamn och lösenord är det upp till dig att ta reda på det och åtgärda problemet. Vi rekommenderar att du kollar HaveIBeenPwned om du inte redan har gjort det.
Nest’s använder reCAPTCHA för att förhindra snabba inloggningsförsök
Om en hackare inte känner till ditt lösenord kan de försöka gissa det. Ett sätt är att använda en bot för att skicka in hundratals eller tusentals lösenord i hopp om att få en träff. Men det fungerar inte med Nest- (eller Google)-konton.
Nest har redan implementerat reCAPTCHA på sin inloggningssida. Du har förmodligen till och med stött på det förut. Om du någonsin har behövt välja "alla övergångsställen" eller "alla brandposter" från ett bildrutnät, är det reCAPTCHA. Grundidén är att det är ett test som "bara en människa" kan lösa. Det saktar också ner inloggningsförsök även om en bot på något sätt klarar testet.
I teorin borde det förhindra massinloggningsförsök från att så småningom gissa ditt lösenord. Tyvärr har Ring inga sådana skydd på plats. Så dåliga skådespelare är fria att gissa bort tills de får rätt (speciellt om du har ett svagt lösenord, vilket Ring tillåter).
Båda erbjuder tvåfaktorsautentisering, men du har det bättre med Google
Ringa
Från och med igår kräver Ring tvåfaktorsautentisering. Från och med våren kommer Nest också att kräva det för sina konton. Det placerar Ring något före Nest, men det är inte hela historien.
I båda fallen måste du ange en PIN-kod för engångsbruk för att logga in på ditt konto. För Ring får du det via e-post eller sms. För Nest är e-post det enda alternativet. Engångskoder som skickas via e-post eller sms är bättre än ingenting, men det är inte den säkraste versionen av tvåfaktorsautentisering.
Om du vill ha mer säkerhet bör du använda en autentiseringsapp kopplad till din telefon. Med koder som skickas till sms eller e-post behöver de dåliga köpen bara äventyra dina konton. Men med en autentiseringsapp skulle de behöva stjäla din enhet (och då är säkerhetskameror det minsta av dina problem).
Det spelar roll, för om du migrerar ditt Nest-konto till ett Google-konto får du inte bara mer säkerhet än vad Nest erbjuder för närvarande (vilket är mer än Ring), du kan säkra ditt Google-konto med en autentiseringsapp.
Google tycker att dess konton är så säkra att det inte kommer att kräva tvåfaktorsautentisering, till skillnad från Nest, men vi tycker att du ska slå på det om du har säkerhetskameror.
Det är en hjärtefråga
Vi har inte ens pratat om skillnaden i produkter, men om du vill ha vår åsikt så tycker vi att Nest-kameror är bättre än Ring-kameror också. Integrationen med andra Nest-produkter (som Nest Hub) är mycket snävare än integrationen mellan Ring- och Amazon Echo-produkter.
Men även om Nest- och Ring-kameror var exakt samma när det gäller kvalitet, är det klart att du fortfarande borde gå med Nest.
Medan Ring är snabba med att skylla på sina kunder för säkerhetsproblem och långsamma med att implementera lösningar, har Nest (och Google) varit snabba med att implementera lösningar och långsamma att skylla på kunder.
Vid det sällsynta tillfället när något hände, som en dålig integration mellan Wink och Nest, tog företaget ansvar och arbetade snabbt för att lösa problemet. Det är precis det beteende du vill ha från din säkerhetskameratillverkare.
Nests åtgärder visar att det jobbar hårt för att förtjäna ditt förtroende och säkra dina konton. Och Rings agerande känns som det absoluta minimum. Så valet är klart, välj Nest före ring för dina säkerhetskameror.