En smartphone er en digital form for ID til mange apps og tjenester. Iowa Department of Transportation

Smartphones gemmer din e-mail, dine fotos og din kalender. De giver adgang til online sociale mediesider som Facebook og Twitter og endda dine bank- og kreditkortkonti. Og de er nøgler til noget endnu mere privat og dyrebart - din digitale identitet.

Gennem deres rolle i to-faktor autentificeringssystemer, den mest anvendte sikker metode til beskyttelse af digital identitet, smartphones er blevet afgørende for at identificere mennesker både online og fra. Hvis data og apps på smartphones ikke er sikre, er det en trussel mod folks identitet, hvilket potentielt tillader indtrængende at udgøre deres mål på sociale netværk, e-mail, kommunikation på arbejdspladsen og andre online-konti.

Så sent som i 2012, FBI anbefalede offentligheden at beskytte deres smartphones data ved at kryptere det. For nylig dog agenturet har spurgte telefonproducenter at give en måde at komme ind i krypterede enheder, hvad politiet kalder “ekstraordinær adgang. ” Debatten hidtil har fokuseret på databeskyttelse, men det udelader et vigtigt aspekt af smartphone-kryptering: dets evne til at sikre folks personlige online-identiteter.

Som jeg skrev i min seneste bog, “Lytter ind: Cybersikkerhed i en usikker alder”Gør hvad FBI ønsker - hvilket gør telefoner lettere at låse op - nedsætter nødvendigvis brugernes sikkerhed. En nylig Nationale akademier for videnskab, teknik og medicin undersøgelse, som jeg deltog i, advarer også om, at det at gøre telefoner lettere at låse op potentielt svækker dette nøgleelement for at sikre folks online-identiteter.

Indsamler bevismateriale eller svækker sikkerheden?

I de senere år har politiet søgt adgang til mistænkte smartphones som en del af kriminelle efterforskninger, og teknologivirksomheder har gjort modstand. Den mest fremtrædende af disse situationer opstod i kølvandet på 2015 San Bernardino masseskydning. Før angriberne selv blev dræbt i en skydespil, var de i stand til at ødelægge deres computere og telefoner - undtagen en, en låst iPhone. FBI ville have telefonen dekrypteret, men bekymret for, at mislykkede forsøg på at knække Apples sikkerhedsmekanismer kunne få telefonen til at gøre det slette alle dens data.

Agenturet tog Apple til retten, der forsøger at tvinge virksomheden til at skrive speciel software for at undgå telefonens indbyggede beskyttelse. Apple modstod og argumenterede for, at FBI's indsats var regeringens overreach, som hvis det lykkedes mindske al iPhone-brugeres sikkerhed - og i forlængelse heraf alle smartphone-brugere.

Konflikten blev løst, da FBI betalte et cybersikkerhedsfirma for at bryde ind i telefonen - og fundet intet af relevans til efterforskningen. Men bureauet forblev standhaftigt, at efterforskere skulle have det, de kaldte ”ekstraordinær adgang, "Og hvad andre kaldte"bagdør”: Indbygget software, der gør det muligt for politiet at dekryptere låste telefoner.

Betydningen af ​​tofaktorautentisering

Situationen er ikke så simpelt som FBI antyder. Sikre telefoner skaber hindringer for politiets efterforskning, men de er også en fremragende komponent i stærk cybersikkerhed. Og i betragtning af hyppigheden af ​​cyberangreb og mangfoldigheden af ​​deres mål, er det ekstremt vigtigt.

I juli 2015 meddelte amerikanske embedsmænd det cybertyve havde stjålet personnummer, sundheds - og finansoplysninger og andre private data fra 21.5 millioner mennesker der havde ansøgt om føderale sikkerhedsgodkendelser fra US Office of Personnel Management. I december 2015 forlod et cyberangreb hos tre elselskaber i Ukraine en kvart million mennesker uden strøm i seks timer. I marts 2016, utallige e-mails blev stjålet fra personlig Gmail-konto af John Podesta, formand for Hillary Clintons præsidentkampagne.

I hvert af disse tilfælde og mange flere rundt omkring i verden siden, en dårlig sikkerhedspraksis - sikring af konti udelukkende gennem adgangskoder - lad skurke gøre alvorlig skade. Når loginoplysninger er lette at knække, kommer ubudne gæster hurtigt ind - og kan gå ubemærket hen i flere måneder.

Teknologien til at sikre online-konti ligger i folks lommer. Brug af en smartphone til at køre et stykke software kaldet to-faktor (eller anden-faktor) godkendelse gør det meget sværere at logge på onlinekonti for de onde. Software på smartphonen genererer et ekstra stykke information, som en bruger skal levere ud over et brugernavn og en adgangskode, før han får lov til at logge ind.

På nuværende tidspunkt bruger mange smartphone-ejere tekstbeskeder som en anden faktor, men det er ikke godt nok. US National Institute of Standards and Technology advarer om, at sms'er er langt mindre sikre end godkendelsesapps: Angribere kan aflytte tekster eller endda overbevise et mobilfirma om at videresende SMS-beskeden til en anden telefon. (Det er sket med Russiske aktivister, Black Lives Matter aktivist DeRay Mckessonog andre.)

En sikrere version er en specialiseret app, ligesom Google Autentificering or Authy, der genererer såkaldte tidsbaserede engangsadgangskoder. Når en bruger vil logge ind på en tjeneste, giver hun et brugernavn og en adgangskode og får derefter en anmodning om appens kode. Åbning af appen afslører en sekscifret kode, der ændres hvert 30. sekund. Først ved indtastning af dette er brugeren faktisk logget ind. En Michigan-start kaldes Duo gør dette endnu nemmere: Når en bruger har indtastet et brugernavn og en adgangskode, pinger systemet Duo-appen på sin telefon, så hun kan trykke på skærmen for at bekræfte login.

Disse apps er dog kun så sikre som selve telefonen er. Hvis en smartphone har svag sikkerhed, kan en person, der har den, få adgang til en persons digitale konti og endda låse ejeren ud. Faktisk ikke længe efter, at iPhone debuterede i 2007, hackere udviklede teknikker forum hacking i mistede og stjålne telefoner. Svarede Apple by opbygge bedre sikkerhed for data på sine telefoner; dette er det samme sæt beskyttelser, som retshåndhævelse nu forsøger at fortryde.

Undgå katastrofe

Brug af en telefon som en anden faktor i godkendelse er praktisk: De fleste mennesker bærer deres telefoner hele tiden, og apps er nemme at bruge. Og det er sikkert: Brugere bemærker, om deres telefon mangler, hvilket de ikke gør, hvis en adgangskode løftes. Telefoner som andenfaktorautentifikatorer tilbyder en enorm stigning i sikkerhed ud over blot brugernavne og adgangskoder.

Hvis Office of Personnel Management havde brugt andenfaktorautentificering, ville disse personaleposter ikke have været så lette at løfte. Havde de ukrainske elselskaber brugt andenfaktorautentificering til adgang til de interne netværk, der kontrollerer strømfordeling, ville hackerne have fundet det meget sværere at forstyrre selve elnettet. Og havde John Podesta brugt andenfaktorautentificering, ville russiske hackere ikke have været i stand til at komme ind på hans Gmail-konto, selv med hans adgangskode.

FBI modsiger sig selv om dette vigtige spørgsmål. Agenturet har foreslog offentligheden at bruge tofaktorautentificering , kræver det når politibetjente vil oprette forbindelse til føderale strafferetlige databasesystemer fra et usikkert sted som en kaffebar eller endda en politibil. Men så ønsker bureauet at gøre smartphones nemmere at låse op og svække dets eget systems beskyttelse.

Ja, telefoner, der er vanskelige at låse op for, hindrer efterforskning. Men det går glip af en større historie. Onlinekriminalitet øges kraftigt, og angreb bliver mere sofistikerede. At gøre telefoner lette for efterforskere at låse op vil underminere den bedste måde, der er for almindelige mennesker at sikre deres online-konti. Det er en fejl for FBI at føre denne politik.

Om forfatteren

Susan Landau, professor i datalogi, lov og diplomati og cybersikkerhed, Tufts University

Denne artikel blev oprindeligt offentliggjort den The Conversation. Læs oprindelige artikel.

Bøger af denne forfatter

at InnerSelf Market og Amazon