מחקר: שאלות סודיות אל תשמרו סיסמאות

גם אם בן הזוג שלך אינו יודע את סיסמת הדואר האלקטרוני שלך, הוא או היא כנראה יודע מספיק מידע כדי לקבל את זה.

ספקי דואר אלקטרוני חינם לעתים קרובות נוכחים מה שמכונה "שאלה סודית" כמנגנון אימות לאיפוס סיסמת חשבון. אבל לעתים קרובות ניתן לנחש בקלות את התשובה על ידי אנשים אחרים שמכירים את בעל החשבון, כך עולה ממחקר חדש שפורסם במהלך הסימפוזיון בנושא אבטחה ופרטיות של IEEE השבוע באוקלנד, קליפורניה.

במקרים אחרים, זרים יכולים לספק בהצלחה את התשובות כמה שאלות, וזה איך הרפובליקני סגן נשיא הנשיאות שרה פיילין איבדה שליטה על חשבון יאהו שלה. סטודנט באוניברסיטה שהואשם בפיקודו של החשבון, דייוויד קרנל, אמר כי נדרשת פחות משעה של מחקר מקוון כדי להעלות את התשובות הנכונות לשאלות האבטחה עבור החשבון של פיילין. [

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב שלך Windows PC]

המחקר בחן את השאלות המשמשות את יאהו, גוגל, מיקרוסופט ו- AOL במארס 2008. במבחן אחד, החוקרים זיווגו שני אנשים יחד, עם בעל חשבון הדואר האלקטרוני אומר שהם לא סומכים על האחר אדם עם הסיסמה שלהם. כאשר הציג את השאלה הסודית של בעל החשבון, האדם השני ניחש את זה נכון 17 אחוז מהזמן.

בין שני אנשים הסומכים זה על זה, אחד השותפים היה מסוגל לספק את התשובה הנכונה לחשבון Hotmail 28 אחוז מהזמן, אמר המחקר.

אפילו עם שאלות שנכתבו על ידי משתמש - המערכת כי גוגל מעסיקה - זר מוחלט יכול לנחש את התשובה 15 אחוז מהזמן בתוך חמישה ניסיונות.

חלק מהבעיה היא כי השאלות הן כל כך מבריק כי קצת חיפוש באינטרנט יכול להעלות רשימות של תוכניות טלוויזיה האהוב, משקאות מוגזים, בירות, שחקנים, וכו 'המסייעים להפוך ניחוש ממוקד יותר אפשרי. בנוסף, הנתונים הגיאוגרפיים מסייעים בשאלות כגון "מהו צוות הספורט המועדף עליכם", נכתב במחקר. "התוצאות שלנו אינן מעניקות לנו ביטחון שהשאלות האישיות של היום מספקות סודיות מספקת לאימות", כותבים המחברים. "אלה שקשה לנחש נוטים פחות להיבחר על ידי המשתמשים מלכתחילה, וכאשר הם נבחרים הם פחות סיכוי להיזכר."

למרות יאהו בכל פעם הציג את סדרת הזכורים ביותר בזמנו, משתתפי המחקר שכחו את תשובותיהם בתוך שישה חודשים. המחברים כתבו כי יאהו החליפה את כל תשע שאלות האימות האישיות שלה בפברואר.

אין פתרון קל לבעיה. אתרי אינטרנט רבים אחרים תלויים בשליחת דואר אלקטרוני לחשבון של אדם כדי לאמת אדם, אך מכיוון שחשבון הדואר האלקטרוני עצמו צריך להיות מאומת, הוא מהווה בעיה.

פתרון אפשרי אחד כדי למנוע התקפות ניחוש סטטיסטיות יהיה להעניש תגובות שגויות בהתאם לפופולריות שלהם. הגודל של העונש, כותבים החוקרים, יהיה תלוי בסיכוי שהמשתמש הלגיטי יגיב עם תשובות פופולריות מרובות לפני קבלת התשובה הנכונה.

הנתונים במחקר מצביעים על כך שאם אדם מנחש נכונה שתי תשובות פופולריות לשאלה, לעתים רחוקות הם מקבלים שאלה שלישית נכונה.

כמו כן, המחברים ממליצים לחסל שאלות כי הם ניחושים סטטיסטית יותר מ -10 אחוז מהזמן, כגון "מהי העיר האהובה עליך?" הם הגדירו תשובה כניחוש סטטיסטית אם היא בין חמש התשובות הפופולריות ביותר שמספקים משתתפים אחרים במחקר שלהם.

מנגנון אימות נוסף יכול להיות SMS (שירות הודעות קצרות) שנשלח על ידי ספק הדואר האלקטרוני, טלפון נייד. אבל זה גם מציב שאלות ביטחוניות, שכן טלפונים נגנבים ואבודים, ושידור ה- SMS יש בעיות אבטחה, הם כתבו.

המחקר נכתב על ידי סטיוארט שכטר וא. Berheim מברשת מחקר של מיקרוסופט וסרג 'Egelman של אוניברסיטת קרנגי מלון