211service.com
Vai uz jūsu 'slepenajiem jautājumiem' ir pārāk viegli atbildēt?
Braiena Grīna pieredze ar ne pārāk slepeniem jautājumiem sākās, kad viņš šā gada martā pieteicās savā World of Warcraft kontā un visus savus varoņus atrada viņu apakšveļā. Kāds bija nozadzis kontu un pārdevis visu savu virtuālo aprīkojumu.
Mana pirmā doma bija, ka manā datorā varētu būt keylogger, Grīns raksta notikuma aprakstā. Tomēr viņa paša pētījums par incidentu un uzbrucēja spēja vairākas reizes mainīt sava konta paroles noveda Grīnu, kurš pats ir spēļu dizainers, pie cita secinājuma: manam 'slepenajam jautājumam' ir pārāk izplatīta atbilde… Tas nebija kaut kas tāds, ko es apsvēru, kad to aizpildīju.
Incidents atklāj līdzības ar skaļo lietu, kurā bija iesaistīta Aļaskas gubernatore un bijusī viceprezidenta kandidāte Sāra Peilina. 2008. gada septembrī hakeri izmantoja tās vietas nosaukumu, kur Peilina un viņas vīrs tikās, lai piekļūtu viņas Yahoo e-pasta kontam, izmantojot slepeno jautājumu paroles atkopšanas mehānismu.
Peilina un Grīns nav vieni. Pētījumā, kas tiks prezentēts plkst IEEE simpozijs par drošību un privātumu šonedēļ pētnieki no Microsoft un Kārnegija Melona universitātes plāno parādīt, ka slepenie jautājumi, kas tiek izmantoti, lai nodrošinātu dažādu vietņu paroles atiestatīšanas funkcijas, ir nožēlojami nedroši. Pētījumā, kurā piedalījās 130 cilvēki, pētnieki atklāja, ka 28 procenti cilvēku, kuri zināja un kuriem pētījuma dalībnieki uzticējās, varēja uzminēt pareizās atbildes uz dalībnieka slepenajiem jautājumiem. Pat cilvēkiem, kuriem dalībnieks neuzticējās, joprojām bija 17 procentu iespēja uzminēt pareizo atbildi uz slepeno jautājumu.
Slepenie jautājumi vien nav tik droši, kā mēs vēlētos, lai mūsu rezerves autentifikācija būtu, saka Stjuarts Šehters, programmatūras giganta Microsoft pētnieks un viens no darba autoriem. Tie nav arī pietiekami uzticami, lai ar to izmantošanu vien būtu pietiekami, lai nodrošinātu, ka lietotāji var atgūt savus kontus, ja viņi aizmirst paroles.
Pētnieki saka, ka vismazāk drošie jautājumi ir vienkārši, uz kuriem atbildes var uzminēt bez esošām zināšanām par šo tēmu. Piemēram, atbildes uz jautājumiem Kura ir tava mīļākā pilsēta? un kāda ir tava mīļākā sporta komanda? dalībniekiem bija samērā viegli uzminēt. Kopumā minējumu pieciniekā parādījās attiecīgi 30 procenti un 57 procenti pareizo atbilžu.
Taču atbildes, kuru uzminēšanai nepieciešamas tikai nelielas personīgās zināšanas, arī jāuzskata par nedrošām, brīdina pētnieki. No cilvēkiem, kuriem dalībnieki neuzticētu savu paroli, 45 procenti joprojām varēja atbildēt uz jautājumu par to, kur viņi ir dzimuši, un 40 procenti varēja pareizi norādīt sava mājdzīvnieka vārdu, atklājuši pētnieki.
Šehters saka, ka rezerves autentifikācijas shēmām vajadzētu būt divām svarīgām īpašībām. Tiem ir jābūt uzticamiem, ļaujot likumīgam lietotājam atgūt piekļuvi savam kontam, un tiem jābūt drošiem, neļaujot tiem piekļūt neautorizētiem lietotājiem.
Pētījumā atklājās, ka abos kontos nav pieejami slepeni jautājumi. Pat uz neaizmirstamākajiem jautājumiem — kā izrādījās Yahoo — dalībnieki trīs līdz sešu mēnešu laikā aizmirsa 16 procentus atbilžu. Kopumā viens no katriem pieciem cilvēkiem aizmirsa visas atbildes uz saviem slepenajiem jautājumiem, atklāja pētnieki.
Cilvēki mēdz par zemu novērtēt iespēju, ka viņi aizmirsīs kādu gudru paņēmienu vai vieglu atbildi, saka Šehters.
Lielāko daļu desmit gadu drošības eksperts Brūss Šnejers ir kritizējis slepenus jautājumus par to neaizsargātību pret uzbrukumiem. 2005. gadā Schneier rakstīja: Man patīk domāt, ka, ja aizmirstu savu paroli, man vajadzētu būt ļoti grūti piekļūt savam kontam. Es vēlos, lai tas būtu tik grūti, ka uzbrucējs to nevar izdarīt.
Tomēr uzņēmumi, kas koncentrējas uz klientu apkalpošanas izmaksu samazināšanu, ir ieviesuši aizmugures durvis cilvēku kontos, kuras ir vieglāk apiet nekā mēģināt uzminēt paroli, viņš saka. Dīvainā drošības lieta, kas tiek darīta, ir tāda, ka ir rezerves sistēma jūsu paroles atiestatīšanai, kas ir mazāk droša nekā sistēma, kuru tai ir paredzēts atbalstīt, saka Šneiers.
Šehters piekrīt, ka pētniekiem būs jāatrod pavisam cits rezerves autentifikācijas mehānisms — slepeni jautājumi to netraucē. Viņš saka, ka mēs galu galā vēlētos, lai šie jautājumi izzustu. Diemžēl, tā kā mēs neatradām daudzus pilnīgi labus jautājumus, ir grūti ieteikt vienkārši mainīt jautājumus.
Šehters iesaka neizvēlēties jautājumus, uz kuriem var būt kopīgas atbildes. Šneiers iet tālāk un saka, ka viņš bieži vienkārši ieraksta nejaušu atbildi; Ja viņam vajadzēs izgūt paroli, viņš saka, viņš piezvanīs uzņēmumam.
Grīns, kura slepenajā jautājumā tika uzdots viņa vidusskolas nosaukums, nākotnē plāno izmantot drošāku e-pastu. Un tas var nozīmēt atteikšanos no paroles izguves. Viņš saka, ka iespēja vietnē atiestatīt savu paroli ir lieliski, ja aizmirstu savu paroli, taču ir nepatīkami, ja kādam citam izdodas izdomāt, kā to izdarīt bez manas atļaujas.