Studium: Tajné otázky Neposkytujte ochranu heslem

I když váš manžel nezná vaše heslo k e-mailu, pravděpodobně zná dostatek informací, aby se dostal.

takzvanou "tajnou otázku" jako ověřovací mechanismus pro obnovení hesla účtu. Ale odpověď je často snadno odhadnuta jinými lidmi, kteří znají majitele účtu, podle nové studie, která bude zveřejněna během symposia IEEE o bezpečnosti a soukromí tento týden v Oaklandu, Kalifornie.

V jiných případech mohou cizinci úspěšně dodat odpovědi na některé otázky, což je jak republikánská viceprezidentka kandidátka Sarah Palin ztratila kontrolu nad svým účtem Yahoo. Vysokoškolský student obviněný z příkazu na účet, David Kernell, řekl, že trvalo méně než hodinu výzkumu na internetu, aby přišel s správnými odpověďmi na bezpečnostní otázky pro Palinovu účet.

[Další informace: Jak odstranit malware z vašeho počítače Windows PC]

Studie se zabývala otázkami, které používaly Yahoo, Google, Microsoft a AOL v březnu 2008. V jednom testu výzkumní pracovníci spárovali dohromady dva lidi, přičemž držitel e-mailového účtu řekl, že nedůvěřují druhému osoba s jejich heslem. Při předložení tajné otázky majitele účtu se druhá osoba domnívala, že to je správné 17 procent.

Mezi dvěma lidmi, kteří si vzájemně důvěřují, jeden partner dokázal poskytnout správnou odpověď na účet služby Hotmail 28 procent času, uvedla studie.

Dokonce i s otázkami napsanými uživatelem - systémem, který společnost Google nyní zaměstnává - úplný cizinec mohl odhadnout odpověď 15 procent času během pěti pokusů.

Součástí problému je, že otázky jsou tak nevýrazné, že trochu vyhledávání na internetu může vyvolat seznam oblíbených televizních pořadů, sody, piva, herce atd., které pomáhají lépe cítit hádanky. Také geografické údaje pomáhají s otázkami jako "Jaký je váš oblíbený sportovní tým," říká studie.

"Naše výsledky nedávají důvěru, že dnešní osobní otázky dělají adekvátní autentizační tajemství," napsali autoři. "Těžko odhadnout, že je méně pravděpodobné, že budou uživatelé v první řadě vybráni, a když jsou vybráni, je méně pravděpodobné, že budou zapamatováni."

Ačkoli Yahoo najednou představil nejpamátnější soubor otázek v té době, účastníci studie zapomněli své vlastní odpovědi do šesti měsíců. Autoři napsali, že Yahoo nahradilo všech devět svých osobních autentizačních otázek v únoru.

Problém není snadný. Mnoho jiných webových stránek závisí na odesílání e-mailu na účet osoby k ověření osoby, ale protože samotný e-mailový účet musí být ověřen, představuje problém.

Jedním z možných řešení, jak odvrátit útoky statistického hádání by bylo penalizovat špatné odpovědi v závislosti na jejich popularitě. Velikost penále, jak píší autoři, bude záviset na šanci, aby legitimní uživatel reagoval s více populárními odpověďmi než dostal ten správný.

Údaje ve studii naznačují, že pokud člověk nesprávně odhadne dvě lidové odpovědi na otázku, jen zřídka dostanou správnou třetí otázku.

Autoři také doporučují odstranit otázky, které jsou statisticky odhaditelné více než 10 procent času, například "Jaké je vaše oblíbené město?" Definovali odpověď jako statisticky pravděpodobnou, pokud se jedná o jednu z pěti nejoblíbenějších odpovědí poskytnutých ostatními účastníky studie.

Dalším mechanismem ověřování může být SMS (Short Message Service) odeslaná poskytovatelem e-mailu na osobu mobilní telefon. To ale také představuje bezpečnostní otázky, protože telefony jsou ukradeny a ztraceny a přenos SMS má bezpečnostní problémy, napsali.

Studie napsali Stuart Schechter a A.J. Berheim štětcem společnosti Microsoft Research a Serge Egelmanovou z Carnegie Mellon University.