Почему вы отвечаете на вопросы безопасности пароля неправильные

Когда мы регистрируемся на новом онлайн-сервисе, нас неизменно просят создать пароль. Это сразу обеспечивает новую учетную запись. Если вы разумны, вы выбираете длинную, совершенно случайную строку или позволяете приложению для управления паролями работать

для тебя. Далее в последовательности идут вопросы безопасности.

Эти вопросы обычно задают девичью фамилию вашей матери, название вашей начальной школы, имя вашего первого питомца и так далее. Вопросы безопасности, разработанные для защиты наших учетных записей от потенциальных хакеров, должны служить дополнительной линией защиты.

Как вы отвечаете на эти вопросы? Вы говорите правду, всю правду, и только правду? К сожалению, ваша правдивость может создать неожиданную щель в вашей онлайн-броне. Давайте посмотрим, как именно вы должны отвечать на эти вопросы.

Защитный барьер

Подсказки к паролю, несомненно, полезны. Полезный совет будет отображаться, если вы забудете свой пароль Windows. И это после единственной неудачной попытки. В случае пароля Windows ваша подсказка должна освежить вашу память. Он напоминает вам, что вы выбрали подсказку, так что вы можете быть настолько загадочным или открытым, как вам хочется.

Вопросы безопасности разные. Мы регулярно сталкиваемся со знакомыми комбинациями вопросов, о которых я упоминал выше, и охотно предоставляем точные ответы. Вопросы безопасности представлены в качестве дополнительной линии защиты. Тем не менее, вы должны учитывать относительную легкость получения некоторых ответов в современном ультрасвязанном обществе.

Исследователи безопасности регулярно высмеивают вопросы безопасности

, Можем ли мы верить в меры безопасности, ответы на которые могут быть легко обнаружены?

Я делаю это неправильно?

Злоумышленники охотятся на простые вопросы

— цвета, девичьи фамилии, первые домашние животные — потому что их легко получить через аккаунты в социальных сетях

, Что еще хуже, если ваша учетная запись использует очень конкретные вопросы и ответы, злоумышленник может удалить другие потенциальные пароли.

Например, если контрольный вопрос был «Где вы купили свой первый автомобиль?», Злоумышленник может немедленно игнорировать другие, более простые ответы.

Я уверен, что вы уже нашли очевидное решение этой проблемы безопасности. Если злоумышленник ищет ответ, который имеет непосредственное отношение к вам, почему бы не использовать что-то совершенно другое?

  • Какая девичья фамилия вашей матери? fa1c0npunc4
  • Где вы познакомились с вашим супругом? b1cycl3tyr3
  • Как звали твоего первого питомца? n0str0d4mu5

Ладно, это ужасные примеры, но ты уловил мой дрейф. Если ответ а) неясен и б) использует случайные символы, вы немедленно установите уровень безопасности своих учетных записей, который немного выше

,

И что сделает меня в безопасности?

Безопаснее, друг, но не совсем безопасно.

Видите ли, в 2015 году Google опубликовал интересный документ, в котором исследуются извлеченные уроки, касающиеся вопросов безопасности. Используя свой практически непревзойденный набор данных для анализа секретных вопросов, заданных их огромной пользовательской базой, они пытались понять, насколько эффективен этот дополнительный уровень безопасности.

Google Секретные вопросы Фрагмент инфографикиКредит изображения: Блог Google

Наш анализ подтверждает, что секретные вопросы обычно предлагают уровень безопасности, который намного ниже, чем выбранные пользователем пароли. Оказывается, он даже ниже, чем показывали бы прокси-серверы, такие как реальное распределение фамилий в популяции.

Удивительно, но мы обнаружили, что существенной причиной этой небезопасности является то, что пользователи часто не отвечают правдиво. Проведенный нами опрос пользователей показал, что значительная часть пользователей (37%), признавшихся в предоставлении ложных ответов, сделали это, пытаясь сделать их «сложнее угадать», хотя в целом это поведение имело противоположный эффект, поскольку люди «ожесточали» свои ответы в предсказуемой форме.

График неправильных ответов службы безопасности GoogleImage Credit: Исследования в Google

Почему мы пытаемся лгать, а потом так плохо? Как видно из приведенной выше таблицы, большинство респондентов дают ложные ответы, полагая, что это повысит их безопасность. Затем мы можем предположить, что широкая публика (пусть и крошечный снимок огромной базы данных) действительно понимает, что вопросы безопасности могут и будут использоваться против них.

Исследовательская группа Google в конечном итоге приходит к выводу, что вопросы безопасности либо несколько безопасны, либо их легко запомнить, но золотая комбинация встречается редко. Следовательно, «хотя Google предпочитает восстановление SMS и электронной почты, ни один механизм не является идеальным».

Главный пример

К сожалению, Google отказался предложить истинный размер базы данных, использованной для исследования. Тем не менее, они подтвердили, что «рассматриваемые данные содержат сотни миллионов точек данных, и на каждый анализируемый вопрос было дано более 1 миллиона ответов». Значительные цифры, учитывая их предполагаемую базу пользователей.

В 2016 году United Airlines представили новую обновленную схему безопасности для своих учетных записей клиентов. Старая система, в которой использовались 4-значные ПИН-коды, по праву считалась неподходящей для учетных записей, потенциально содержащих сотни тысяч долларов за часто летающие мили. Обновленная система требует, чтобы пользователи вводили уникальный пароль, а также отвечали на пять личных вопросов безопасности.

Звучит хорошо, правда? За исключением United Airlines, попросите своих клиентов выбрать надежный, уникальный пароль и ответить на их вопросы, используя заранее определенный набор ответов. Это верно: предопределенные ответы. Например, если вы выберете вопрос «В каком месяце у ваших лучших друзей день рождения», ваши потенциальные злоумышленники — как вы уже догадались — всего лишь двенадцать ответов на битву. Трудные времена.

Объясняется, что «большинство проблем безопасности, с которыми сталкиваются наши клиенты, могут быть связаны с компьютерными вирусами, которые записывают типизацию, а использование предопределенных ответов защищает от такого типа вторжения».

Исследователь в области безопасности Брайан Кребс напрямую общался с директором разведки по информационной безопасности United Airlines Бенджамином Воном. Вон сказал, что компания «рандомизировала вопросы, чтобы сбить с толку программы ботов, которые стремятся автоматизировать представление ответов, и что вопросы безопасности, на которые ответили неправильно, будут« заблокированы »и больше не будут задаваться».

«Вопросы безопасности — наименее безопасный способ что-либо защитить». Рик Фергюсон @TrendMicro # AISA2016

— Трейси Спайсер (@TraceySpicer) 19 октября 2016 г.

Кроме того, Вон подтвердил Кребсу, что несколько неудачных попыток приведут к заблокированной учетной записи. Следовательно, пользователь должен напрямую связаться с United Airlines, чтобы разблокировать свою учетную запись.

Традиционная мудрость

United Airlines выявили уязвимость системы безопасности, но их ответ не полностью решил проблему. Как мы уже видели, единственный действительно безопасный способ ответить на секретный вопрос, подобно паролю, предоставить что-то действительно уникальное и случайное. Это в надежде, что потенциальные хакеры будут разочарованы сложностью и перейдут на следующий аккаунт.

Вывод о том, что широкая общественность страдает от усталости в плане безопасности, важен, поскольку он имеет последствия на рабочем месте и в повседневной жизни людей. Это очень важно, потому что очень многие люди совершают банковские операции в Интернете, а медицинские услуги и другая ценная информация перемещаются в Интернет.

Если люди не могут использовать безопасность, они не собираются, и тогда мы и наша нация не будем в безопасности.

— когнитивный психолог и соавтор безопасности усталости, Брайан Стэнтон

Увы, усталость от безопасности — очень реальная проблема. Пользователи все больше устают. Нарушения безопасности и принудительный сброс пароля теперь стали настолько распространенным явлением, что многие пользователи просто игнорируют предупреждения. Эта усталость приводит к рискованному поведению пользователя как дома, так и на рабочем месте. Мы предлагаем:

  • автоматизировать — Возьмите под контроль свою безопасность и автоматизируйте сканирование, резервное копирование

    и больше.

  • Управление паролями — Решения для управления паролями, доступные в LastPass

    или KeyPass, и они оба позаботятся о ваших вопросах безопасности.

  • Взять на себя ответственность — Ваша безопасность данных — ваша ответственность. Мы возлагаем большие надежды на учреждения, хранящие наши данные, и это правильно. Тем не менее, если вы не будете применять строгие меры безопасности дома, вы будете разделять часть вины.

Мы много писали о преодолении усталости безопасности

, Прочитайте его и верните контроль над своими секретными вопросами!

Как вы отвечаете на ваши вопросы безопасности? Вы попали в сладкое место? Или вы используете приложение для управления паролями? Дайте нам знать ваши советы по секретному вопросу ниже!

Ссылка на основную публикацию
Adblock
detector