Czy odpowiedź na Twoje „tajne pytania” jest zbyt łatwa?

Doświadczenie Briana Greena z niezbyt tajnymi pytaniami zaczęło się, gdy zalogował się na swoje konto World of Warcraft w marcu tego roku i znalazł wszystkie swoje postacie w bieliźnie. Ktoś ukradł konto i sprzedał cały jego wirtualny sprzęt.



izraelska szczepionka na zieloną kartę

Moją pierwszą myślą było to, że mogę mieć keylogger na moim komputerze, Green napisał w opisie wydarzenia. Jednak jego własne badania nad incydentem – i zdolność atakującego do wielokrotnej zmiany hasła do konta – doprowadziły Greena, który sam jest projektantem gier, do innego wniosku: moje „tajne pytanie” ma aż nazbyt powszechną odpowiedź… nie było czymś, o czym myślałem, kiedy go wypełniałem.

Incydent wykazuje podobieństwa do głośnej sprawy dotyczącej gubernatora Alaski i byłej kandydatki na wiceprezydenta Sarah Palin. We wrześniu 2008 r. hakerzy wykorzystali nazwę miejsca, w którym Palin i jej mąż spotkali się, aby uzyskać dostęp do jej konta e-mail Yahoo za pomocą mechanizmu odzyskiwania hasła z tajnego pytania.





Palin i Green nie są sami. W badaniach, które zostaną zaprezentowane na Sympozjum IEEE na temat bezpieczeństwa i prywatności W tym tygodniu badacze z Microsoftu i Carnegie Mellon University planują wykazać, że tajne pytania używane do zabezpieczania funkcji resetowania hasła na różnych stronach internetowych są żałośnie niebezpieczne. W badaniu z udziałem 130 osób naukowcy odkryli, że 28 procent osób, które znały uczestników badania i którym ufali, potrafiło odgadnąć prawidłowe odpowiedzi na tajne pytania uczestnika. Nawet osoby, którym uczestnik nie ufał, nadal miały 17 procent szans na odgadnięcie prawidłowej odpowiedzi na tajne pytanie.

Same tajne pytania nie są tak bezpieczne, jak byśmy chcieli, aby było nasze uwierzytelnianie kopii zapasowych, mówi Stuart Schechter, badacz z gigantem oprogramowania Microsoft i jeden z autorów artykułu. Nie są też na tyle niezawodne, aby samo ich użycie wystarczyło, aby zapewnić użytkownikom możliwość odzyskania swoich kont, gdy zapomną hasła.

Najmniej bezpieczne pytania to te proste, których odpowiedzi można odgadnąć bez wiedzy na ten temat, twierdzą naukowcy. Na przykład odpowiedzi na pytania Jakie jest Twoje ulubione miasto? i Jaka jest twoja ulubiona drużyna sportowa? były stosunkowo łatwe do odgadnięcia przez uczestników. W sumie, odpowiednio, 30 procent i 57 procent poprawnych odpowiedzi pojawiło się na pierwszej piątce listy domysłów.



Jednak odpowiedzi, których odgadnięcie wymaga jedynie niewielkiej wiedzy osobistej, należy również uznać za niebezpieczne, ostrzegają naukowcy. Naukowcy odkryli, że spośród osób, którym uczestnicy nie zaufaliby podając swoje hasło, 45 procent nadal potrafiło odpowiedzieć na pytanie, gdzie się urodzili, a 40 procent mogło poprawnie podać imię swojego zwierzaka.

Schechter mówi, że schematy uwierzytelniania kopii zapasowych powinny mieć dwie ważne cechy. Powinny być niezawodne, umożliwiając uprawnionemu użytkownikowi odzyskanie dostępu do swojego konta, a także powinny być bezpieczne, uniemożliwiając nieautoryzowanym użytkownikom uzyskanie dostępu.

Badanie wykazało, że tajne pytania nie odnoszą się do obu kont. Nawet na najbardziej zapadające w pamięć pytania – jak się okazało, Yahoo – uczestnicy zapomnieli 16 procent odpowiedzi w ciągu trzech do sześciu miesięcy. Ogólnie rzecz biorąc, jedna na pięć osób zapomniała wszystkich odpowiedzi na swoje tajne pytania, odkryli naukowcy.

Ludzie mają tendencję do niedoceniania prawdopodobieństwa, że ​​zapomną jakąś sprytną technikę lub szybką odpowiedź, mówi Schechter.



Przez większość dekady ekspert ds. bezpieczeństwa Bruce Schneier krytykował tajne pytania za ich podatność na ataki. Schneier napisał w 2005 roku, że lubię myśleć, że jeśli zapomnę hasła, dostęp do konta powinien być naprawdę trudny. Chcę, żeby było to tak trudne, żeby napastnik nie mógł tego zrobić.

Jednak firmy skoncentrowane na zmniejszeniu kosztów obsługi klienta wprowadziły tylne drzwi do kont ludzi, które łatwiej jest obejść niż próba odgadnięcia hasła. Dziwną rzeczą, jaką się robi, jest to, że istnieje system kopii zapasowej do resetowania hasła, który jest mniej bezpieczny niż system, który ma obsługiwać, mówi Schneier.

Schechter zgadza się, że badacze będą musieli znaleźć zupełnie inny mechanizm uwierzytelniania kopii zapasowych – tajne pytania po prostu go nie ograniczają. W końcu chcielibyśmy, aby te pytania zniknęły, mówi. Niestety, ponieważ nie znaleźliśmy wielu pytań, które byłyby jednoznacznie dobre, trudno jest polecić po prostu zmianę pytań.

Schechter zaleca, aby nie wybierać pytań, na które mogą być wspólne odpowiedzi. Schneier idzie dalej i mówi, że często po prostu wpisuje losową odpowiedź; mówi, że jeśli będzie potrzebował odzyskać hasło, zadzwoni do firmy.

Green, którego tajne pytanie dotyczyło nazwy jego liceum, planuje w przyszłości używać bezpieczniejszej poczty e-mail. A to może oznaczać rezygnację z odzyskiwania hasła. Możliwość zresetowania hasła na stronie jest fajna, jeśli go zapomnę, ale jest do bani, jeśli komuś innemu uda się wymyślić, jak to zrobić bez mojej zgody, mówi.

ukryć

Rzeczywiste Technologie.

Kategoria

Bez Kategorii

Technologia

Biotechnologia

Polityka Techniczna

Zmiana Klimatu

Ludzie I Technologia

Dolina Krzemowa

Przetwarzanie Danych

Magazyn Mit News

Sztuczna Inteligencja

Przestrzeń

Inteligentne Miasta

Blockchain

Historia Funkcji

Profil Absolwenta

Połączenie Absolwentów

Funkcja Wiadomości Mit

1865

Mój Widok

77 Msza Św

Poznaj Autora

Profile W Hojności

Widziany Na Kampusie

Listy Absolwentów

Aktualności

Wybory 2020

Z Indeksem

Pod Kopułą

Magazyn Informacyjny Mit

Wąż Pożarowy

Nieskończone Historie

Projekt Technologii Pandemicznej

Od Prezydenta

Przykrywka

Galeria Zdjęć

Zalecane