Är dina 'hemliga frågor' för lätta att besvara?

Brian Greens erfarenhet av inte så hemliga frågor började när han loggade in på sitt World of Warcraft-konto i mars i år och hittade alla hans karaktärer i sina underkläder. Någon hade stulit kontot och sålt all hans virtuella utrustning.





Min första tanke var att jag kanske hade en keylogger på min dator, skrev Green i en beskrivning av händelsen. Men hans egen forskning om incidenten – och angriparens förmåga att ändra sitt kontolösenord flera gånger – ledde Green, som själv är speldesigner, till en annan slutsats: Min 'hemliga fråga' har ett alltför vanligt svar ... Detta var inget jag tänkte på när jag fyllde i det för länge sedan.

Händelsen visar likheter med det uppmärksammade fallet med Alaskas guvernör och tidigare vicepresidentkandidat Sarah Palin. I september 2008 använde hackare namnet på platsen där Palin och hennes man träffades för att få tillgång till hennes Yahoo-e-postkonto via den hemliga frågan för lösenordsåterställning.

Palin och Green är inte ensamma. I forskning som ska presenteras på IEEE Symposium om säkerhet och integritet den här veckan planerar forskare från Microsoft och Carnegie Mellon University att visa att de hemliga frågorna som används för att säkra lösenordsåterställningsfunktionerna på en mängd olika webbplatser är bedrövligt osäkra. I en studie som involverade 130 personer fann forskarna att 28 procent av personerna som kände till och var betrodda av studiens deltagare kunde gissa de korrekta svaren på deltagarens hemliga frågor. Även personer som inte litade på av deltagaren hade fortfarande 17 procents chans att gissa rätt svar på en hemlig fråga.



Enbart hemliga frågor är inte så säkra som vi skulle vilja att vår säkerhetskopieringsautentisering ska vara, säger Stuart Schechter, forskare hos mjukvarujätten Microsoft och en av författarna till tidningen. De är inte heller tillräckligt tillförlitliga för att enbart deras användning är tillräcklig för att säkerställa att användare kan återställa sina konton när de glömmer sina lösenord.

De minst säkra frågorna är enkla frågor vars svar kan gissas utan befintlig kunskap om ämnet, säger forskarna. Till exempel svaren på frågorna Vilken är din favoritstad? och Vilket är ditt favoritidrottslag? var relativt lätta för deltagarna att gissa. Allt som allt dök 30 procent respektive 57 procent av de rätta svaren upp på topp-fem-listan över gissningar.

Men svar som bara kräver lite personlig kunskap för att gissa bör också betraktas som osäkra, varnar forskarna. Av personer som deltagarna inte skulle lita på med sitt lösenord kunde 45 procent fortfarande svara på en fråga om var de föddes, och 40 procent kunde korrekt ge sitt husdjurs namn, fann forskarna.



Backup-autentiseringsscheman bör ha två viktiga egenskaper, säger Schechter. De bör vara tillförlitliga, tillåta en legitim användare att återfå åtkomst till sitt konto, och de bör vara säkra och förhindra obehöriga användare från att få åtkomst.

Studien fann att hemliga frågor misslyckas på båda kontona. Även för de mest minnesvärda frågorna – Yahoos, som det visade sig – glömde deltagarna 16 procent av svaren inom tre till sex månader. Sammantaget glömde en av fem personer alla svar på sina hemliga frågor, fann forskarna.

Människor tenderar att underskatta sannolikheten för att de glömmer någon smart teknik eller glänsande svar, säger Schechter.



Under större delen av ett decennium har säkerhetsexperten Bruce Schneier kritiserat hemliga frågor för deras sårbarhet för attacker. 2005, skrev Schneier, gillar jag att tro att om jag glömmer mitt lösenord borde det vara riktigt svårt att få tillgång till mitt konto. Jag vill att det ska vara så svårt att en angripare omöjligt kan göra det.

Ändå har företag som fokuserar på att minska kundtjänstkostnaderna infört en bakdörr till människors konton som är lättare att kringgå än att försöka gissa lösenordet, säger han. Det konstiga säkerhetsgrejen som görs är att det finns ett backupsystem för att återställa ditt lösenord som är mindre säkert än systemet som det är avsett att stödja, säger Schneier.

Schechter håller med om att forskare måste hitta en helt annan mekanism för säkerhetskopieringsautentisering – hemliga frågor klipper det bara inte. Vi skulle så småningom vilja se de här frågorna försvinna, säger han. Tyvärr, eftersom vi inte hittade många frågor som var avgörande bra, är det svårt att rekommendera att bara ändra frågor.



Schechter rekommenderar att man inte väljer frågor som kan ha vanliga svar. Schneier går längre och säger att han ofta bara skriver in ett slumpmässigt svar; om han behöver hämta ett lösenord, säger han, kommer han att ringa företaget.

Green, vars hemliga fråga frågade namnet på hans gymnasieskola, planerar att använda säkrare e-post i framtiden. Och det kan innebära att du avstår från hämtning av lösenord. Att kunna återställa mitt lösenord på sajten är fiffigt om jag glömmer mitt lösenord, men det suger om någon annan lyckas komma på hur man gör det utan min tillåtelse, säger han.

Dölj