"Секретный вопрос" оказывается совсем не секретным

Discussion in 'Мировые новости. Обсуждения.' started by brhr, 23 May 2009.

  1. brhr

    brhr New Member

    Joined:
    11 Nov 2008
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    "Секретный вопрос" оказывается совсем не секретным​


    [​IMG]

    В подавляющем большинстве случаев на последнем рубеже защиты пользовательских данных, персонифицированных онлайн-сервисов (электронная почта, соцсети и пр.) от посягательств злоумышленников оказывается секретный вопрос. Предполагается, что ответ на него известен лишь одному человеку - настоящему пользователю конкретного сервиса. Однако действительность оказывается куда прозаичнее – такая защита очень легко обходится злоумышленником, даже не знакомым близко с объектом своего нападения.
    Слабость такого способа защиты пользовательского аккаунта подтверждается не только независимыми экспертами, но и солидными группами исследователей – сотрудников корпорации Microsoft и Университета Карнеги-Мелоуна. Последние в рамках симпозиума IEEE Symposium on Security and Privacy планируют представить общественности доклад, в котором специалисты собираются показать всю слабость защиты при помощи секретного пароля. Серьезность проблемы еще и в том, что подобрав правильный ответ на поставленный вопрос, злоумышленник получает полный контроль над аккаунтом и может распоряжаться им по своему усмотрению – не только получая доступ к конфиденциальной информации, но и действуя от имени бывшего владельца учетной записи.
    Для привлечения внимания к исследованию ученым необходимо опираться на конкретные цифры. В данном случае они опирались на работу, в которой приняли участие около 130 человек. Результаты показали, что чуть менее трети испытуемых – 28 процентов – смогли «угадать» ответ на секретный пароль, в случае если близко знали своего оппонента. Если же оппонент был полностью незнаком, то ответ на вопрос угадали 17 процентов испытуемых.
    Впрочем, конечный результат во многом зависит от сложности поставленного вопроса. Например, вопрос о любимой команде пользователя или его любимом городе не станет большой проблемой в 30 и 57 процентах случаев соответственно. Но даже на вопросы личного характера – город рождения, или кличка домашнего питомца – взломщик дает правильный ответ в 45 и 40 процентов случаев.
    Нет сомнений, что система восстановления забытого пароля должна отличаться простотой для использования настоящим обладателем учетной записи, и гарантировать высокий уровень защиты. Неожиданно, но секретный вопрос плохо справляется с обеими возложенными на него задачами. Для начала отметим, что около 16 процентов пользователей в течение короткого срока – от трех до шести месяцев – забывают ответ на него. С другой стороны, такая защита оказывается слишком легким препятствием на пути взломщика.
    Итак, какие рекомендации можно дать пользователям, желающим надежно защитить собственные данные? Очень желательно полностью отказаться от применения защиты при помощи секретного пароля, если же конкретный сервис не предлагает иной возможности, лучшим решением станет поиск альтернативного варианта. Если же альтернативы нет, желательно дать несвязанный с вопросом ответ – в случае крайней необходимости можно восстановить доступ к аккаунту, обратившись непосредственно к поставщику услуг, но зато подобрать кодовое слово/фразу злоумышленнику будет чрезвычайно сложно. Если же присутствует крайняя необходимость, то желательно из списка предложенных вопросов выбирать тот, на который можно дать оригинальный ответ, неизвестный для постороннего человека. Но тогда не стоит и доверять сервису хранение важной конфиденциальной информации.​

    Источник: http://www.3dnews.ru/news/_sekretnii_vopros_okazivaetsya_sovsem_ne_sekretnim
     
    #1 brhr, 23 May 2009
    Last edited: 23 May 2009
  2. X-RayBlade

    X-RayBlade Banned

    Joined:
    22 Feb 2009
    Messages:
    492
    Likes Received:
    1,002
    Reputations:
    271
    Для полной уверенности в том что ответ не угадают, нужно генератор ПСЧ использовать. Так на всякий случай ;)
    p.s.: В таком случае вся статистика учённых коту под хвост
     
  3. vvs777

    vvs777 Elder - Старейшина

    Joined:
    16 Nov 2004
    Messages:
    394
    Likes Received:
    213
    Reputations:
    4
    дв какой там секретній вопрос. еще не перевелись люди, которые за пароль свою дату рождения ставят в вариациях - задом наперед, через точки, дефисы, слеши или сплошняком...
     
  4. $n@ke

    $n@ke Elder - Старейшина

    Joined:
    18 Sep 2006
    Messages:
    696
    Likes Received:
    404
    Reputations:
    134
    "...но и солидными группами исследователей – сотрудников корпорации Microsoft"
    Кто бы плять говорил уже, в логах куча ящиков майкрософта и их же акки Ибэя и т.п. , с вопросами и паролями какие может и рандом угадать (
     
Loading...