Badanie: Sekretne pytania nie chronią haseł

Nawet jeśli twój współmałżonek nie zna twojego hasła e-mailowego, prawdopodobnie zna wystarczająco dużo informacji, aby go uzyskać.

Często oferuje się darmowych dostawców poczty e-mail tak zwane "tajne pytanie" jako mechanizm weryfikacyjny do resetowania hasła do konta. Ale odpowiedź jest często łatwa do odgadnięcia przez inne osoby, które znają posiadacza rachunku, zgodnie z nowym badaniem, które zostanie opublikowane podczas Sympozjum IEEE na temat bezpieczeństwa i prywatności w tym tygodniu w Oakland w Kalifornii.

W innych przypadkach obcy mogą z powodzeniem dostarczać odpowiedzi na niektóre pytania, w ten sposób republikańska kandydatka na wiceprezydenta Sarah Palin straciła kontrolę nad swoim kontem Yahoo. Student uniwersytetu, oskarżony o rekwizycję konta, David Kernell, powiedział, że znalezienie odpowiedzi na pytania bezpieczeństwa na koncie Palina zajęło mniej niż godzinę badań online.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego konta Komputer z systemem Windows]

W badaniu wzięli udział pytania zadane przez Yahoo, Google, Microsoft i AOL w marcu 2008 roku. W jednym teście naukowcy połączyli dwie osoby, przy czym posiadacz konta e-mail powiedział, że nie ufałby innym osoba z hasłem. Po przedstawieniu tajnego pytania posiadacza konta druga osoba odgadła to w 17 procentach.

Spośród dwóch osób, które mają do siebie zaufanie, jeden partner był w stanie dostarczyć prawidłową odpowiedź na konto Hotmail 28 procent czasu., mówi badanie.

Nawet w przypadku pytań napisanych przez użytkownika - systemu, który Google obecnie stosuje - kompletny nieznajomy może odgadnąć odpowiedź 15 procent czasu w ciągu pięciu prób.

Część problemu polega na tym, że pytania są tak nijakie, że wyszukiwanie w Internecie może zawierać listy ulubionych programów telewizyjnych, napojów gazowanych, piwa, aktorów itp., które umożliwiają bardziej ukierunkowane zgadywanie. Również dane geograficzne pomagają w pytaniach takich jak "Jaki jest twój ulubiony zespół sportowy", wynika z badania.

"Nasze wyniki nie dają nam pewności, że dzisiejsze osobiste pytania utwierdzają w tajemnicy odpowiednie uwierzytelnienie" - napisali autorzy. "Ci, którzy są trudni do odgadnięcia, w pierwszej kolejności są mniej wybierani przez użytkowników, a gdy są wybierani, są mniej skłonni do zapamiętania."

Chociaż Yahoo raz prezentował najbardziej pamiętny zestaw pytań w tym czasie uczestnicy badania zapomnieli o własnych odpowiedziach w ciągu sześciu miesięcy. Autorzy napisali, że Yahoo zastąpiło wszystkie dziewięć swoich osobistych pytań uwierzytelniających w lutym.

Nie ma łatwego rozwiązania tego problemu. Wiele innych witryn internetowych polega na wysyłaniu wiadomości e-mail na konto danej osoby w celu zweryfikowania osoby, ale ponieważ samo konto e-mail musi zostać zweryfikowane, stanowi to problem.

Jedno z możliwych rozwiązań w celu odparcia statystycznych ataków na domysły byłoby karanie niewłaściwych odpowiedzi w zależności od ich popularności. Rozmiar kary, jak pisali autorzy, byłby uzależniony od szansy, by prawowity użytkownik odpowiedział wieloma popularnymi odpowiedziami przed uzyskaniem właściwej odpowiedzi.

Dane z badania sugerują, że jeśli osoba niewłaściwie odgaduje dwie popularne odpowiedzi na pytanie rzadko otrzymują trzecie pytanie.

Autorzy zalecają również eliminowanie pytań statystycznie odgadywanych przez ponad 10 procent czasu, np. "Jakie jest twoje ulubione miasto?" Zdefiniowali odpowiedź jako statystycznie przewidywalną, jeśli znajduje się ona wśród pięciu najpopularniejszych odpowiedzi dostarczonych przez innych uczestników badania.

Innym mechanizmem uwierzytelniania może być SMS (Short Message Service) wysłany przez dostawcę poczty elektronicznej do osoby telefon komórkowy. Ale to także stawia pytania bezpieczeństwa, ponieważ telefony są skradzione i zagubione, a transmisja SMS-ów ma obawy o bezpieczeństwo, napisali.

Studium zostało napisane przez Stuarta Schechtera i A.J. Berheim Brush firmy Microsoft Research i Serge Egelman z Carnegie Mellon University.