Исследование: секретные вопросы не защищают пароли

Даже если ваш супруг не знает вашего пароля по электронной почте, он или она, вероятно, знает достаточно информации, чтобы получить его.

Бесплатные поставщики электронной почты часто представляют так называемый «секретный вопрос» в качестве механизма проверки для сброса пароля учетной записи. Но ответ часто легко догадывается другими людьми, которые знают владельца учетной записи, согласно новому исследованию, которое будет опубликовано на симпозиуме IEEE по безопасности и конфиденциальности на этой неделе в Окленде, штат Калифорния.

В других случаях незнакомые люди могут успешно поставлять ответы на некоторые вопросы, так как вице-президент Республиканской партии Сара Пэйлин потерял контроль над своим аккаунтом Yahoo. Студент университета, обвиняемый в захвате счета, Дэвид Кернелл, сказал, что потребовалось менее часа исследований в Интернете, чтобы придумать правильные ответы на вопросы безопасности для учетной записи Палина.

[Читать дальше: Как удалить вредоносное ПО из вашего Windows PC]

В исследовании рассмотрены вопросы, используемые Yahoo, Google, Microsoft и AOL в марте 2008 года. В одном тесте исследователи объединили двух человек вместе с владельцем учетной записи электронной почты, заявив, что они не будут доверять другому лицо с их паролем. Когда представлен секретный вопрос владельца счета, другой человек догадался, что он прав 17 процентов времени.

Среди двух людей, которые доверяют друг другу, один из партнеров смог предоставить правильный ответ для учетной записи Hotmail 28 процентов времени, говорится в исследовании.

Даже с вопросами, написанными пользователем - системой, которую теперь использует Google, - полный незнакомец мог угадать ответ 15 процентов времени в течение пяти попыток.

Часть проблемы заключается в том, что вопросы настолько мягкие, что поиск в Интернете может привести к появлению списков любимых телешоу, содов, пива, актеров и т. д., которые помогут сделать более целенаправленное угадывание возможным. Кроме того, географические данные помогают с такими вопросами, как «Какая ваша любимая спортивная команда», - говорится в исследовании.

«Наши результаты не дают нам уверенности в том, что сегодняшние личные вопросы делают достоверную тайну аутентификации», - пишут авторы. «Те, которые трудно угадать, с меньшей вероятностью будут выбраны пользователями в первую очередь, и когда они будут выбраны, их вряд ли запомнят».

Хотя Yahoo когда-то представлял самый запоминающийся набор вопросов в то время, участники исследования за 6 месяцев забыли свои ответы. Авторы писали, что Yahoo заменила все девять своих личных вопросов аутентификации в феврале.

Нелегко исправить эту проблему. Многие другие веб-сайты зависят от отправки электронного письма на учетную запись человека, чтобы проверить человека, но поскольку сама учетная запись электронной почты должна быть проверена, это создает проблему.

Одно из возможных решений для предотвращения статистических гаданий было бы наказание неправильных ответов в зависимости от их популярности. Размер штрафа, как пишут авторы, будет зависеть от вероятности того, что законный пользователь ответит несколькими популярными ответами, прежде чем получить правильный ответ.

Данные в исследовании показывают, что если человек неправильно догадывается о двух популярных ответах на вопрос, они редко получают третий вопрос.

Кроме того, авторы рекомендуют устранять вопросы, которые статистически догадываются более чем в 10% случаев, например «Какой твой любимый город?». Они определили ответ как статистически допустимый, если он входит в пятерку самых популярных ответов, предоставленных другими участниками в их исследовании.

Другим механизмом аутентификации может быть SMS (служба коротких сообщений), отправленная поставщиком электронной почты для мобильный телефон. Но это также ставит вопросы безопасности, поскольку телефоны украдены и потеряны, а передача SMS имеет проблемы с безопасностью, они писали.

Исследование было написано Стюартом Шехтером и А.Я. Berheim Brush из Microsoft Research и Серж Эгельман из Университета Карнеги-Меллона.