Gräv tunnel under banken. Bryta igenom golvet i valvet. Blås av säker dörr med gelignit. Skappa upp kontanter, guldstänger etc. Hoppa in i en bil.

Det är det gamla receptet för att bli rik olagligt, men nu gör kriminella gäng det på distans med hjälp av datorer. Detta vet vi alla, och säkerhet är en av de stora frågorna i vår tid. Under första halvan av 2018 stulits krypto till ett värde av 1,1 miljarder dollar av hackare, varav cirka 75% av det befriades från börser. Siffran för kryptostöld 2017 var bara 606 miljoner dollar, så trenden är någonsin uppåt. Och det här är de saker vi faktiskt känner till, eftersom börserna inte är intresserade av att dela nyheter om sina förluster, så det är mycket troligt att avblödningen av medel uppgår till betydligt mer.

En hackare delar sanningen om säkerhet

Kalla mig nu naiv, men jag föreställde mig att vad banker, finansinstitut, börser och kryptoföretag gjorde var att göra deras system så robust som möjligt, sedan luta dig tillbaka och vänta för att se om de någonsin attackerades, och i så fall hur och var . Inte så. Jag hade nyligen nöjet att prata med en professionell hackare, som heter Mr. X. (Egentligen inte hans riktiga namn, men kanske gissade du redan det). Herr X är anställd för att regna ner terror och förödelse för bankernas försvar och utbyten för att hitta deras sårbarheter. När han lyckas rapporterar han som en bra medborgare om satsen och förhoppningsvis repareras den.

De stora frågorna handlar dock inte om ett fullständigt angrepp eller DOS-attack, men det är viktigt att skydda mot dessa. Herr X förklarade att två aktuella områden i hans arbete handlar om identifiering och autentisering. Med andra ord, hur vet företaget att dess kund är den de säger sig vara; och hur vet de att den återkommande kunden är samma person?

Tidigare bevisade vi vem vi var genom att hitta ett pass eller foto-ID-dokument, kanske en elräkning eller två för att bevisa vår bostad. Kontoristen över skrivbordet gjorde sedan en värderingsbedömning att allt var bra. Nu kan kontoristen över skrivbordet mycket väl vara ett automatiskt system som använder AI för att registrera en ny användare via sin smartphone, så hur hanterar den bedräglig identitet? Ett bra exempel jag hört talas om nyligen, från en STO som är på väg att starta, är hur mitt i ombordstigningsprocessen klienten plötsligt uppmanas att sticka ut tungan, till exempel. AI letar inte särskilt efter tungan som sticker ut, utan efter det karakteristiska utseendet på överraskning på alla mänskliga ansikten när en konstig begäran görs. Uppenbarligen vidgas våra ögon och vi går alla tillbaka från kameran / personen som gör begäran. “OK”, säger AI, “det är en riktig person jag har att göra med.”

Herr X bekräftade att denna typ av ”beteendeanalys” kommer att bli allt vanligare, särskilt inom autentiseringsområdet. Vi är alla bekanta med namnet / lösenordmetoden för att komma in på webbplatser, plus några ytterligare information som hålls tillbaka som “just in case”, som namnet på vårt första husdjur eller vår mors födelsedag. Detta är multifaktorautentisering, på sin enklaste nivå. En hacker kunde dock ha förberett sig för den här typen av autentiseringssvar och kanske omedelbart kunna avslöja min mors födelsedatum som “23 september 19__” (jag lämnar året tomt för att spara hennes rodnad). Som en mindre än perfekt avkomma kommer jag troligen att svara: “Um, ja, fel, jag vet det här. Det är 22 september … Nej, det är 23 september, um, tror jag … ”

Detta är exakt den typ av beteende som AI kommer att analysera som mer trovärdigt än det “smidiga” svaret.

Och hela tiden pågår någon interaktion mellan din plånbok och utbytet, till exempel, det händer mycket mer under ytan. På teknologinivå gör baksidan av webbplatsen du är ansluten till sin egen multifaktorkontroll. Är det din telefon, används den från en “trolig” plats och nätverk, är det något annorlunda med inställningen? Som användare kommer du inte att vara medveten om några av de flera handskakningar som pågår, men som Mr. X förklarade finns det en konstant process för kontroll och korskontroll.

Är vi är våra värsta fiender?

Så vi kan alla sova säkert i våra sängar på natten? Inte riktigt. Herr X och andra som han arbetar för att skydda mot attacker, men gissa var de största sårbarheterna är? Du. Och jag. Och de flesta av oss. Det är vi som fortfarande använder världens favorit ”ironiska” lösenord, Password123. Det är vi i följande berättelse som jag bevittnade häromdagen. OK, det är inte krypto, men det hände, och det är inte ontypiskt:

Jag står bakom en kvinna i snabbköpet. Om att betala med sitt kreditkort ropar hon till sin partner, som packar shopping, ”Är mitt VISA-kort PIN 6754 eller 6745? Jag glömmer.” Han har en tanke och ropar tillbaka: “Det är 6754 tror jag.” Kvinnan anger PIN-koden, “Ja, 6754, det stämmer.” Så nu har cirka femtio personer i deras omedelbara närhet detaljerna – fantastiskt!

Det skulle nog vara tillräckligt för att få Mr. X att gråta.