Главная » 2009 » Май » 22 » "Секретный вопрос" оказывается совсем не секретным
"Секретный вопрос" оказывается совсем не секретным
22:25
В подавляющем большинстве случаев на последнем рубеже защиты пользовательских данных, персонифицированных онлайн-сервисов (электронная почта, соцсети и пр.) от посягательств злоумышленников оказывается секретный вопрос. Предполагается, что ответ на него известен лишь одному человеку - настоящему пользователю конкретного сервиса. Однако действительность оказывается куда прозаичнее – такая защита очень легко обходится злоумышленником, даже не знакомым близко с объектом своего нападения.
Слабость такого способа защиты пользовательского аккаунта подтверждается не только независимыми экспертами, но и солидными группами исследователей – сотрудников корпорации Microsoft и Университета Карнеги-Мелоуна. Последние в рамках симпозиума IEEE Symposium on Security and Privacy планируют представить общественности доклад, в котором специалисты собираются показать всю слабость защиты при помощи секретного пароля. Серьезность проблемы еще и в том, что подобрав правильный ответ на поставленный вопрос, злоумышленник получает полный контроль над аккаунтом и может распоряжаться им по своему усмотрению – не только получая доступ к конфиденциальной информации, но и действуя от имени бывшего владельца учетной записи.
Для привлечения внимания к исследованию ученым необходимо опираться на конкретные цифры. В данном случае они опирались на работу, в которой приняли участие около 130 человек. Результаты показали, что чуть менее трети испытуемых – 28 процентов – смогли «угадать» ответ на секретный пароль, в случае если близко знали своего оппонента. Если же оппонент был полностью незнаком, то ответ на вопрос угадали 17 процентов испытуемых.
Впрочем, конечный результат во многом зависит от сложности поставленного вопроса. Например, вопрос о любимой команде пользователя или его любимом городе не станет большой проблемой в 30 и 57 процентах случаев соответственно. Но даже на вопросы личного характера – город рождения, или кличка домашнего питомца – взломщик дает правильный ответ в 45 и 40 процентов случаев.
Нет сомнений, что система восстановления забытого пароля должна отличаться простотой для использования настоящим обладателем учетной записи, и гарантировать высокий уровень защиты. Неожиданно, но секретный вопрос плохо справляется с обеими возложенными на него задачами. Для начала отметим, что около 16 процентов пользователей в течение короткого срока – от трех до шести месяцев – забывают ответ на него. С другой стороны, такая защита оказывается слишком легким препятствием на пути взломщика.
Итак, какие рекомендации можно дать пользователям, желающим надежно защитить собственные данные? Очень желательно полностью отказаться от применения защиты при помощи секретного пароля, если же конкретный сервис не предлагает иной возможности, лучшим решением станет поиск альтернативного варианта. Если же альтернативы нет, желательно дать несвязанный с вопросом ответ – в случае крайней необходимости можно восстановить доступ к аккаунту, обратившись непосредственно к поставщику услуг, но зато подобрать кодовое слово/фразу злоумышленнику будет чрезвычайно сложно. Если же присутствует крайняя необходимость, то желательно из списка предложенных вопросов выбирать тот, на который можно дать оригинальный ответ, неизвестный для постороннего человека. Но тогда не стоит и доверять сервису хранение важной конфиденциальной информации.
В подавляющем большинстве случаев на последнем рубеже защиты пользовательских данных, персонифицированных онлайн-сервисов (электронная почта, соцсети и пр.) от посягательств злоумышленников оказывается секретный вопрос. Предполагается, что ответ на него известен лишь одному человеку - настоящему пользователю конкретного сервиса. Однако действительность оказывается куда прозаичнее – такая защита очень легко обходится злоумышленником, даже не знакомым близко с объектом своего нападения.
Слабость такого способа защиты пользовательского аккаунта подтверждается не только независимыми экспертами, но и солидными группами исследователей – сотрудников корпорации Microsoft и Университета Карнеги-Мелоуна. Последние в рамках симпозиума IEEE Symposium on Security and Privacy планируют представить общественности доклад, в котором специалисты собираются показать всю слабость защиты при помощи секретного пароля. Серьезность проблемы еще и в том, что подобрав правильный ответ на поставленный вопрос, злоумышленник получает полный контроль над аккаунтом и может распоряжаться им по своему усмотрению – не только получая доступ к конфиденциальной информации, но и действуя от имени бывшего владельца учетной записи.
Для привлечения внимания к исследованию ученым необходимо опираться на конкретные цифры. В данном случае они опирались на работу, в которой приняли участие около 130 человек. Результаты показали, что чуть менее трети испытуемых – 28 процентов – смогли «угадать» ответ на секретный пароль, в случае если близко знали своего оппонента. Если же оппонент был полностью незнаком, то ответ на вопрос угадали 17 процентов испытуемых.
Впрочем, конечный результат во многом зависит от сложности поставленного вопроса. Например, вопрос о любимой команде пользователя или его любимом городе не станет большой проблемой в 30 и 57 процентах случаев соответственно. Но даже на вопросы личного характера – город рождения, или кличка домашнего питомца – взломщик дает правильный ответ в 45 и 40 процентов случаев.
Нет сомнений, что система восстановления забытого пароля должна отличаться простотой для использования настоящим обладателем учетной записи, и гарантировать высокий уровень защиты. Неожиданно, но секретный вопрос плохо справляется с обеими возложенными на него задачами. Для начала отметим, что около 16 процентов пользователей в течение короткого срока – от трех до шести месяцев – забывают ответ на него. С другой стороны, такая защита оказывается слишком легким препятствием на пути взломщика.
Итак, какие рекомендации можно дать пользователям, желающим надежно защитить собственные данные? Очень желательно полностью отказаться от применения защиты при помощи секретного пароля, если же конкретный сервис не предлагает иной возможности, лучшим решением станет поиск альтернативного варианта. Если же альтернативы нет, желательно дать несвязанный с вопросом ответ – в случае крайней необходимости можно восстановить доступ к аккаунту, обратившись непосредственно к поставщику услуг, но зато подобрать кодовое слово/фразу злоумышленнику будет чрезвычайно сложно. Если же присутствует крайняя необходимость, то желательно из списка предложенных вопросов выбирать тот, на который можно дать оригинальный ответ, неизвестный для постороннего человека. Но тогда не стоит и доверять сервису хранение важной конфиденциальной информации.
