Tanulmány: titkos kérdések nem védik a jelszavakat

Ha a házastársa nem ismeri az e-mail jelszavát, valószínűleg elegendő információval rendelkezik ahhoz, hogy megkapja.

Az ingyenes e-mail szolgáltatók gyakran jelen vannak egy úgynevezett "titkos kérdés", mint egy hitelesítési mechanizmus a fiók jelszavának visszaállításához. A válasz azonban gyakran könnyen kitalálható más emberek számára, akik ismerik a számlatulajdonosokat, egy új tanulmány szerint, amelyet az ezen a héten Oaklandben, Kaliforniában az IEEE Széchenyi Biztonsági és Adatvédelmi Szimbólumában szabad kiadni.

Más esetekben az idegenek sikeresen elláthatják néhány kérdésre adott válasz, így a republikánus alelnökjelölt Sarah Palin elvesztette a Yahoo számláját. A David Kernell számlájára vádolt egyetemi hallgató elmondta, hogy kevesebb, mint egy órányi online kutatásra volt szükség ahhoz, hogy a Palin számlájára vonatkozó biztonsági kérdésekre megfelelő választ adjon.

[További olvasmány: Hogyan távolítsunk el kártékony programokat a Windows PC]

A tanulmány a Yahoo, a Google, a Microsoft és az AOL által 2008 márciusában felmerült kérdéseket vizsgálta. Egy tesztben a kutatók kettőt párosították egymással, az e-mail számlatulajdonos azt mondta, hogy nem bízik a másikban jelszóval rendelkező személy. Amikor a számlatulajdonos titkos kérdésére mutatták be, a másik személy az idő 17 százalékát találta ki.

Azok a két ember közül, akik egymásnak bíztak, egy partner képes volt a Hotmail-fiókra a megfelelő választ adni 28 százaléka "A felhasználó által írt kérdéseket - a Google által jelenleg alkalmazott rendszert is beleértve - egy teljes idegen öt percen belül kitalálhatja a válasz 15 százalékát.

A probléma egy része, hogy a kérdések olyan szelídenek, hogy egy kis internetes keresés hozhat létre listákat a kedvenc TV-műsorokról, szódákról, sörökről, színészekről stb., amelyek segítenek a célzottabb találgatásnak. A földrajzi adatok segítenek például a "Mi a kedvenc sportcsapatod" - jelentette a tanulmány.

"Eredményeink nem adnak bennünket abban, hogy a mai személyes kérdések megfelelő hitelesítési titkot tesznek" - írják a szerzők. "Azok, akiket nehéz kitalálni, kevésbé valószínű, hogy a felhasználók választják meg őket, és amikor kiválasztják, kevésbé valószínű, hogy emlékeznek rá."

Bár a Yahoo egyszerre mutatta be a legemlékezetesebb kérdéseket, a tanulmány résztvevői 6 hónapon belül elfelejtették saját válaszukat. A szerzők azt írták, hogy a Yahoo februárjában a személyi hitelesítési kérdések mind a kilenc számát helyettesíti.

A probléma nem könnyű. Sok más weboldal függ az e-mail küldésétől a személy számláján, hogy ellenőrizze az illetőt, de mivel az e-mail fióknak önmagát kell ellenőrizni, akkor probléma.

Egy lehetséges megoldás a statisztikai találgatások elhárítására hogy a népszerűségtől függően a rossz válaszokat büntetik. A szerzők írása szerint a büntetés mérete attól függ, hogy a legitim felhasználó hogyan válaszol többszörös népszerű válaszokkal, mielőtt megkapja a megfelelőt.

A vizsgálat adatai azt sugallják, hogy ha egy személy helytelenül kitalál két népszerű választ egy kérdésre, ritkán kapnak egy harmadik kérdést.

A szerzők azt is javasolják, hogy kiküszöböljék a statisztikailag kitalálandó kérdéseket, amelyek az idő 10% -át teszik ki, például "Mi a kedvenc városa?" A válaszokat statisztikailag kitalálta, ha a tanulmány más résztvevőinek öt legelterjedtebb válaszai közé tartozik.

Egy másik hitelesítési mechanizmus lehet egy SMS (Short Message Service), amelyet az e-mail szolgáltató elküld egy személynek mobiltelefon. De ez szintén biztonsági kérdéseket vet fel, mivel a telefonok ellopták és elveszettek, és az SMS átvitel biztonsági aggodalmakkal jár, írtak.

A tanulmányt Stuart Schechter és A.J. Berheim Brush a Microsoft Research és Serge Egelman a Carnegie Mellon Egyetemen.