Tutkimus: Salainen kysymys Älä suojele salasanoja

Vaikka puolisosi ei tiedä salasanasi, hän todennäköisesti tietää tarpeeksi tietoa saadakseen sen.

Vapaa sähköpostipalveluntarjoaja esittää usein niin kutsuttu "salainen kysymys" verifikaatiomekanismiksi tilin salasanan nollaamiseksi. Mutta vastaus on usein helposti arvattavissa muilta, jotka tietävät tilinhaltijan, uuden tutkimuksen mukaan, joka julkaistaan ​​tällä viikolla IEEE: n turvallisuus- ja tietosuojaseminaarissa Kalifornian Oaklandissa.

Muissa tapauksissa vieraat voivat onnistuneesti toimittaa vastaukset joihinkin kysymyksiin, jolloin republikaaninen varapuheenjohtaja ehdolla Sarah Palin menetti hallintonsa Yahoo-tiliään. Yliopisto-opiskelija, joka syytti tilien hallussapidosta, David Kernell, sanoi, että Internet-verkossa oli vähemmän kuin tunti tutkimustyötä, jotta löydettäisiin oikeat vastaukset Palin-tilin turvallisuuskysymyksiin.

[Lue lisää: Windows-tietokone]

Tutkimuksessa tarkasteltiin Yahoo: n, Googlen, Microsoftin ja AOL: n maaliskuussa 2008 käyttämiä kysymyksiä. Yhdessä testissä tutkijat yhdisti kaksi henkilöä yhteen. Sähköpostitilin haltija sanoi, että he eivät luota toisiinsa henkilö, jolla on salasana. Tilinhaltijan salaisen kysymyksen yhteydessä toinen arvosti 17 prosenttia ajasta.

Kaksi ihmistä, jotka luottavat toisiinsa, yksi kumppani pystyi toimittamaan oikean vastauksen Hotmail-tilille 28 prosenttia ajasta

Vaikka käyttäjän kirjoittamat kysymykset - järjestelmä, jonka Google nyt käyttää - täydellinen vieras voisi arvata 15 prosenttia ajasta viidessä yrityksessä.

Osa ongelmasta on se, että Kysymykset ovat niin ihania, että hieman Internet-haussa voi tuoda esiin suosikki-tv-ohjelmien, virvoitusjuomien, oluiden, toimijoiden jne. listat, jotka auttavat tekemään kohdennetummaisen arvaamisen mahdolliseksi. Myös maantieteelliset tiedot auttavat sellaisissa kysymyksissä kuin "Mikä on suosikki urheilujoukkueesi", tutkimus totesi.

"Tuloksemme eivät anna meille luottamusta siihen, että nykypäivän henkilökohtaiset kysymykset tekevät riittävän todentamisen salaisuuden", kirjoittajat kirjoittavat. "Ne, jotka on vaikea arvailla, ovat vähemmän todennäköisesti valittuja käyttäjien keskuudessa, ja heidät valitaan heitä vähemmän muistettavaa."

Vaikka Yahoo kertoi aikanaan mieleenpainuvimpia kysymyksiä, tutkimuksen osanottajat unohtivat omat vastauksensa kuuden kuukauden kuluessa. Kirjoittajat kirjoitti, että Yahoo korvasi helmikuussa kaikki yhdeksän henkilökohtaista todennuskysymystä.

Ongelma ei ole helppo korjata. Monet muut verkkosivustot riippuvat sähköpostin lähettämisestä henkilön tilille henkilön vahvistamiseksi, mutta koska sähköpostitili on itse tarkistettava, se on ongelma.

Yksi mahdollinen ratkaisu tilastollisten arvauskohtausten estämiseksi olisi rangaista virheellisiä vastauksia niiden suosion mukaan. Rangaistuksen koko, kirjoittajat kirjoittavat, riippuu siitä, että laillinen käyttäjä reagoi useisiin suosittuihin vastauksiin ennen kuin saava oikean.

Tutkimuksen tiedot viittaavat siihen, että jos henkilö virheellisesti arvaa kaksi suosittua vastausta kysymykseen, he harvoin saavat kolmannen kysymyksen oikein.

Myös kirjoittajat suosittelevat poistamalla kysymyksiä, jotka ovat tilastollisesti arvattavissa yli 10 prosenttia ajasta, kuten "Mikä on suosikki kaupunki?" He määritelivät vastauksen tilastollisesti arvattaviksi, jos se on tutkimuksen muiden osallistujien viiden suosituimman vastauksen joukossa.

Toinen todennusmekanismi voi olla tekstiviesti (Short Message Service), jonka sähköpostipalvelun tarjoaja lähettää henkilön kännykkä. Mutta se aiheuttaa myös turvallisuuskysymyksiä, koska puhelimet varastetaan ja kadotetaan, ja tekstiviestien lähetys on turvallisuussyistä. Kirjoittajat ovat kirjoittaneet Stuart Schechter ja A.J. Berletin Brush of Microsoft Research ja Serge Egelman Carnegie Mellonin yliopistosta.