Asi aj vám napadlo pri vypĺňaní bezpečnostných otázok v prípade zabudnutia hesla, že tento ochranný prvok vášho súkromia nie je to pravé orechové. Váš domáci miláčik, meno vašej matky za slobodna? To všetko je ľahko uhádnuteľné.
Google zverejnil nové štúdie, ktoré obsahujú analýzu dát od miliónov používateľov. Ukázalo sa, že bezpečnostné otázky ktoré využíva väčšina ľudí ako dodatočnú ochranu svojho súkromia sú menej bezpečné a ľahšie na uhádnutie ako heslá, ktoré si používateľ zvolil. Obzvlášť problematické to môže byť prípadoch, kedy používateľ heslo zabudol a potrebuje si ho nechať zaslať alebo resetovať.
Používatelia zároveň zabúdajú odpovede na otázky, ktoré si vybrali. Z veľkej časti za to môže fakt nejednoznačnosti otázky. Ďalším nemalým problémom môže byť úsilie urýchliť celý proces nastavovania bezpečnosti a používatelia často vkladajú nezmyselné odpovede, alebo klamú. Takto majú otázky tendenciu stať sa slabými. Google zistil aj to, že mnoho ľudí poskytuje falošné odpovede na bezpečnostné otázky aby bolo ťažšie uhádnuť ich.
V tvorbe bezpečnostných otázok musia webové stránky nájsť zlatú strednú cestu medzi otázkami ktoré si používatelia pamätajú a takými, ktoré sú ťažké na uhádnutie treťou stranou. Google zistil, že to nie je takmer nikdy dosiahnuté.
„Porovnanie sily otázky a jej zapamätateľnosť ukazuje, že otázky, ktoré sú potenciálne najbezpečnejšie (napr. vaše prvé telefónne číslo), sú tiež tie, ktoré sa najťažšie pamätajú,“ píše sa v abstrakte výskumu. „Došli sme k záveru, že sa zdá takmer nemožné nájsť bezpečnostné otázky, ktoré sú bezpečné aj zapamätateľné.“
Štúdie zároveň uvádzajú vysokú úspešnosť útokov proti tomuto typu zabezpečenia, pretože existuje množstvo totožných odpovedí veľkého počtu používateľov. Výskum napríklad ukazuje 19,7 % šancu hackera uhádnuť odpoveď na otázku ako „obľúbené jedlo“ (koľko Američanov ľúbi pizzu?). Na desiaty pokus uhádnete pri 39 % kórejských používateľoch ich miesto narodenia.
Mnohé weby postupne pridávajú ďalšiu formu zabezpečenia pomocou obnovenia hesla prostredníctvom SMS, alebo alternatívnej mailovej adresy. Google možno časom príde s niečím novým.
Zdroj: bgr
passco
passco