Чому ви повинні (все одно) довіряти Nest більше, ніж Ring
Гніздо
Вчора Ring оголосила, що негайно почне вимагати двофакторну аутентифікацію для всіх облікових записів користувачів. І хоча це чудовий початок, цього недостатньо. Компанія може і повинна робити більше. Правда полягає в тому, що він наздоганяє іншу компанію камер безпеки: Nest. Якщо вам потрібно вибирати, ви повинні довіряти Nest before Ring, і ось чому.
Чесно кажучи, камери відеоспостереження, які ви встановлюєте у своєму домі, це страшна пропозиція. Подумайте про це — ви встановлюєте цифрову систему запису в найінтимніші зони свого життя, і для доступу до них вам знадобиться лише правильне ім’я користувача та пароль. Небезпека в цій концепції стала надто очевидною нещодавно, оскільки звіт за звітом показував людей з камерами Ring, їхні облікові записи були скомпрометовані.
Оновлення, 2/27: Після публікації цієї статті до нас звернувся представник Ring з такою заявою:
Ring перевіряє розташування IP-адрес для кожного входу та вживає заходів, коли виявлено підозрілу активність. Крім того, користувачі Ring отримують електронною поштою сповіщення про будь-який новий клієнтський пристрій, який входить в обліковий запис Ring з правильними обліковими даними, щоб вони могли змінити пароль свого облікового запису, якщо вони не розпізнають логін, що автоматично виводить з системи всі клієнтські пристрої.
Ring періодично сканує різні джерела, як в Інтернеті, так і в темній мережі, на наявність облікових даних, які були скомпрометовані в результаті порушення, не пов’язаного з Ring. Коли ми виявляємо зламані облікові дані, які збігаються з поточним ім’ям користувача та паролем клієнта Ring, ми вимикаємо його поточний пароль і повідомляємо клієнту електронною поштою, що його облікові дані, можливо, були зламані. Ми повідомляємо їм, що вони повинні негайно змінити свій пароль, щоб вийти з усіх клієнтських пристроїв, і рекомендуємо ввімкнути двофакторну аутентифікацію.
Частота дзвінків обмежує запити на вхід, щоб зменшити незвичайний обсяг спроб входу з одного IP-адреса. Якщо є повторні спроби регулювання, ми блокуємо та блокуємо IP-адресу.
Коли ми запитали документацію Ring, на яку ми могли б вказати для отримання додаткової інформації, Ring відмовився і вказав нам на статтю CNET, в якій також сказано, що Ring перевіряє паролі на наявність підозрілої поведінки.
Однак CNET також вказує на тестування VICE, яке показало, що ці заходи безпеки не застосовувалися.
Оригінал статті залишено недоторканим нижче.
У Nest, з іншого боку, проблема вже з’ясована. Компанія впровадила (або буде впроваджувати) кілька функцій, яких не вистачає Ring, як-от протоколювання IP-адреси, вимоги до надійності пароля, перевірки порушених паролів та швидке запобігання спробам входу.
Google знає, де ви перебуваєте завдяки IP Logging
Ви можете цього не усвідомлювати, але веб-сайти знають, де ви знаходитесь. Ваша IP-адреса відкриває цю інформацію щоразу, коли ви відвідуєте сайт. Більшість сайтів не відстежують, де ви зазвичай перебуваєте.
Але Google робить. Якщо ви завжди входите в систему з Вашингтона, округ Колумбія, але раптом за півгодини переходите до Флориди чи Китаю, Google помітить і розцінить цю спробу входу як підозрілу. Він сповіщатиме вас і запобігатиме входу, доки ви не підтвердите, що це ви, а не хтось, хто намагається ввійти за допомогою пароля зі зламаної бази даних.
Хоча цю можливість Google вперше представив для облікових записів Google (для Gmail, Google Календаря тощо), вона нещодавно представила цю можливість для облікових записів Nest.
Зараз Ring не перевіряє ваше IP-місцезнаходження на наявність підозрілої активності. Це видно з того факту, що погані актори могли входити в облікові записи інших користувачів Ring (якщо тільки пощастило, вони завжди були дуже близько до жертви).
Компанія також не згадала про цю функцію в своєму останньому оновленні, що стосується змін конфіденційності та безпеки. І це шкода, тому що це допоможе вирішити проблему.
Ring дозволить вам використовувати будь-який пароль, незважаючи на його слабкість
Першим бар’єром для вашого облікового запису є ваш пароль, і дивно бачити, що Ring дозволить вам використовувати будь-що. Щоб бути впевненим, я створив новий обліковий запис сьогодні, і він дозволив мені використовувати «пароль» для свого пароля. Це найслабший пароль у світі, і жоден веб-сайт, не кажучи вже про охоронну компанію, не повинен це дозволяти.
Найгірше те, що Ring знає свій слабкий пароль. На знімку екрана вище ви можете побачити, що Ring каже, що «пароль» слабкий. Але це все одно дозволило мені ним користуватися. Якщо ви бачите, що хтось збирається ступити перед вантажівкою, ви не просто скажете: «Гей, це погана ідея». Ви завадите їм зробити жахливу помилку. Але Ring не заважає вам використовувати жахливий пароль.
Nest, з іншого боку, перевіряє ваші паролі на відповідність основним вимогам і не дозволяє використовувати паролі за замовчуванням, які легко вгадати. Це майже безглуздо хвалити Nest за цей факт, тому що це абсолютний мінімум, який повинна робити будь-яка охоронна компанія, але Nest робить це, а Ring ні, тож ми тут.
Nest перевіряє на наявність порушених паролів
Поки ми кидаємо на вас бомби правди, ось ще одне: хтось уже зламав цей єдиний пароль, який ви використовуєте для своєї електронної пошти, Adobe, Disqus, Dropbox, Tumbler і xkcd. Декілька разів. Якщо ви всюди використовуєте один і той же пароль, вам слід зупинитися. Будь ласка , установіть менеджер паролів.
Але ми можемо повторювати цей факт до кінця часів, і люди будуть продовжувати використовувати паролі повторно. Тому наступне найкраще – захистити людей від них самих. Nest перевіряє ваше поточне ім’я користувача та пароль на наявність відомих порушень бази даних. Якщо він знайде відповідність, він повідомить вас і попросить змінити ваш пароль.
Це не дозволяє хакерам увійти у ваш обліковий запис за допомогою облікових даних, які вони знайшли завдяки поганому захисту іншого сайту. На жаль, Ring не перевіряє ваші паролі на предмет злому в базі даних. Якщо ви використовуєте скомпрометовану комбінацію імені користувача та пароля, ви повинні з’ясувати це та усунути проблему. Ми рекомендуємо вам перевірити HaveIBeenPwned, якщо ви ще цього не зробили.
Nest’s використовує reCAPTCHA для запобігання спробам швидкого входу
Якщо хакер не знає ваш пароль, він може спробувати його вгадати. Одним із способів є використання бота, щоб надіслати сотні або тисячі паролів в надії отримати звернення. Але це не працюватиме з обліковими записами Nest (або Google).
Nest вже впровадив reCAPTCHA на своїй сторінці входу. Ви, мабуть, навіть стикалися з цим раніше. Якщо вам коли-небудь доводилося вибирати "всі пішохідні переходи" або "всі пожежні гідранти" з сітки зображень, це reCAPTCHA. Основна ідея полягає в тому, що це тест, який може вирішити «тільки людина». Це також уповільнює спроби входу, навіть якщо бот якимось чином пройшов тест.
Теоретично це повинно запобігти спробам масового входу в кінцевому підсумку вгадати ваш пароль. На жаль, у Ring немає подібного захисту. Тож погані актори можуть вгадати, поки не зрозуміють (особливо якщо у вас слабкий пароль, який Ring дозволяє).
Обидва пропонують двофакторну аутентифікацію, але вам краще з Google
Каблучка
Починаючи з учорашнього дня, Ring вимагає двофакторної аутентифікації. Починаючи з весни, Nest також знадобиться для своїх облікових записів. Це ставить Ring трохи попереду Nest, але це ще не вся історія.
В обох випадках вам потрібно буде ввести одноразовий PIN-код, щоб увійти у свій обліковий запис. Для Ring ви отримаєте це електронною поштою або текстовим повідомленням. Для Nest електронна пошта є єдиним варіантом. Одноразові коди, надіслані електронною поштою або текстовими повідомленнями, краще, ніж нічого, але це не найбезпечніша версія двофакторної аутентифікації.
Якщо ви хочете більше безпеки, вам слід використовувати програму аутентифікації, прив’язану до вашого телефону. З кодами, надісланими на текстове повідомлення або електронну пошту, невдалі покупки просто мають поставити під загрозу ваші облікові записи. Але з програмою для аутентифікації їм доведеться вкрасти ваш пристрій (і в цей момент камери безпеки — це найменша ваша проблема).
Це має значення, тому що якщо ви переміщуєте свій обліковий запис Nest в обліковий запис Google, ви не тільки отримаєте більше безпеки, ніж наразі пропонує Nest (що більше, ніж Ring), ви можете захистити свій обліковий запис Google за допомогою програми аутентифікації.
Google вважає, що його облікові записи настільки захищені, що не вимагає двофакторної аутентифікації, на відміну від Nest, але ми вважаємо, що вам варто ввімкнути його, якщо у вас є камери безпеки.
Це справа серця
Ми навіть не говорили про різницю в продуктах, але якщо вам потрібна наша думка, ми вважаємо, що камери Nest кращі за камери Ring. Інтеграція з іншими продуктами Nest (наприклад, Nest Hub) набагато тісніша, ніж інтеграція між продуктами Ring та Amazon Echo.
Але навіть якби камери Nest і Ring були абсолютно однаковими з точки зору якості, зрозуміло, що вам все одно варто вибрати Nest.
У той час як Ring швидко звинувачує своїх клієнтів у проблемах безпеки і повільно впроваджує рішення, Nest (і Google) швидко впроваджують рішення і повільно звинувачують клієнтів.
У рідкісних випадках, коли щось траплялося, як-от погана інтеграція між Wink та Nest, компанія брала на себе відповідальність і швидко працювала над вирішенням проблеми. Саме такої поведінки ви хочете від виробника камер відеоспостереження.
Дії Nest показують, що він наполегливо працює, щоб заслужити вашу довіру та захистити ваші облікові записи. А дії Рінга відчуваються як мінімум. Отже, вибір зрозумілий, виберіть Nest before Ring для ваших камер безпеки.