Hvorfor du svarer på passord sikkerhetsspørsmål feil
Når vi registrerer seg for en ny onlinetjeneste, blir vi uansett bedt om å opprette et passord. Dette sikrer umiddelbart den nye kontoen. Hvis du er fornuftig, velger du en lang, helt tilfeldig streng, eller la et passord ledelse app gjøre jobben The Complete Guide to Forenkling og sikre livet ditt med Lastpass og Xmarks The Complete Guide to Forenkling og sikre livet ditt med Lastpass og Xmarks Mens skyen betyr at du lett kan få tilgang til viktig informasjon, uansett hvor du er, betyr det også at du har mange passord for å holde styr på. Det er derfor LastPass ble opprettet. Les mer for deg. Neste i sekvensen kommer sikkerhetsspørsmål.
Disse spørsmålene stiller vanligvis etter din mors pikenavn, navnet på din grunnskole, navnet på ditt første kjæledyr, og så videre. Designet for å holde kontoene våre trygge mot hackere, bør sikkerhetsspørsmålene fungere som en ekstra forsvarslinje.
Hvordan svarer du på disse spørsmålene? Forteller du sannheten, hele sannheten, og ingenting annet enn sannheten? Dessverre kan din sannferdighet skape en uventet chink i din nettpanser. La oss se på hvordan du bør svar på disse spørsmålene.
En beskyttende barriere
Passord hint er utvilsomt nyttig. Et nyttig hint vil bli vist hvis du glemmer Windows-passordet ditt. Og dette er etter bare et enkelt mislykket forsøk. Når det gjelder Windows-passordet, bør hinten oppdatere minnet ditt. Det minner deg om å bruke et hint du har valgt, så du kan være så kryptisk eller åpen som du føler.
Sikkerhetsspørsmål er forskjellige. Vi møter regelmessig de kjente spørsmålskombinasjonene jeg nevnte ovenfor, og gir gjerne nøyaktige svar. Sikkerhetsspørsmål presenteres som en ekstra forsvarslinje. Du bør imidlertid vurdere den relative lettheten ved å skaffe noen av svarene i dagens ultraforbundne samfunn.
Sikkerhetsforskere regelmessig håner sikkerhetsspørsmål som laber Slik oppretter et sikkerhetsspørsmål som ingen andre kan gjette hvordan du oppretter et sikkerhetsspørsmål som ingen andre kan gjette De siste ukene har jeg skrevet mye om hvordan å lage online-kontoer utvinnbare. Et typisk sikkerhetsalternativ er å sette opp et sikkerhetsspørsmål. Mens dette potensielt gir en rask og enkel måte å ... Les mer. Kan vi ha tro på et sikkerhetsforanstaltning hvis svar kan bli så lett oppdaget?
Jeg gjør det galt?
Angripere tære på de enkle spørsmålene Slik oppdager og unngå 10 av de mest lumske hacking teknikker hvordan du kan oppdage og unngå 10 av de mest lumske hacking teknikker Hackere får utspekulerte og mange av deres teknikker og angrep ofte gå ubemerket av selv erfarne brukere. Her er 10 av de mest lumske hackingsteknikkene for å unngå. Les mer - farger, pikenavn, første kjæledyr - fordi de lett kan hentes gjennom sosiale medier. Slik beskytter du deg selv mot disse 8 samfunnstekniske angrep. Slik beskytter du deg selv mot disse 8 samfunnsmessige tekniske anfallene. Hvilke sosiale ingeniørteknikker vil hackere bruke og hvordan ville du beskytte deg mot dem? La oss ta en titt på noen av de vanligste angrepsmåtene. Les mer . For å gjøre saken verre, kan en angriper eliminere andre potensielle passord hvis kontoen din bruker ekstremt spesifikke spørsmål og svar.
For eksempel, hvis sikkerhetsspørsmålet var “Hvor kjøpte du din første bil?” angriperen kan umiddelbart se bort fra andre enklere svar.
Jeg er sikker på at du allerede har twigged den åpenbare løsningen på dette sikkerhetsproblemet. Hvis angriperen leter etter et svar som direkte angår deg, hvorfor ikke bruke noe helt annet?
- Hva er din mors pikenavn? fa1c0npunc4
- Hvor møtte du ektefellen din? b1cycl3tyr3
- Hva het ditt første kjæledyr? n0str0d4mu5
Ok, det er forferdelige eksempler, men du tar min drift. Hvis svaret er a) uklart og b) bruker tilfeldige tegn, vil du umiddelbart sette sikkerhetslinjen på kontoene dine litt høyere Har du tatt disse 5 første trinnene for å sikre dine kontoer online? Har du tatt disse 5 første trinnene for å sikre dine kontoer på nettet? Det er overraskende hvor mange mennesker ignorerer disse grunnleggende om å sikre deg selv på nettet. Disse fem nettstedene og verktøyene gjør online-sikkerhet lettere. Les mer .
Og det vil gjøre meg trygg?
Sikrere, venn, men ikke helt trygg.
Du ser, i 2015, Google publisert et interessant dokument som utforsker leksjonene de har lært om sikkerhetsspørsmål. Ved hjelp av deres nesten uovertruffen datasett for å analysere de hemmelige spørsmålene som ble gitt av deres monumental brukerbas, søkte de å forstå hvor effektivt dette ekstra sikkerhetslaget er.
Vår analyse bekrefter at hemmelige spørsmål generelt tilbyr et sikkerhetsnivå som er langt lavere enn brukervalgte passord. Det viser seg å være enda lavere enn proxyer som den virkelige fordeling av etternavn i befolkningen vil indikere.
Overraskende fant vi ut at en betydelig årsak til denne usikkerheten er at brukerne ofte ikke svarer sannferdig. En brukerundersøkelse vi gjennomførte viste at en betydelig andel brukere (37%) som innrømmet å gi falske svar, gjorde det i et forsøk på å gjøre dem “vanskeligere å gjette” Selv om denne aggregeringen samlet sett hadde motsatt effekt som mennesker “Harden” deres svar på en forutsigbar måte.
Hvorfor forsøker vi å lyve, men så gjør det så ille? Som du kan se i diagrammet ovenfor, gir flertallet av respondentene falske svar med troen på at det vil øke sikkerheten. Vi kan da anta at allmennheten (om enn et lite øyeblikksbilde av en enorm database) forstår at sikkerhetsspørsmålene kan og vil bli brukt mot dem.
Google-forskerteamet konkluderer med at sikkerhetsspørsmål enten er noe sikre eller enkle å huske, men den gylne kombinasjonen er sjelden å finne. derav “mens Google foretrekker SMS og e-postgjenoppretting, er ingen mekanisme perfekt.”
Et Prime Eksempel
Dessverre, Google nektet å tilby den ekte størrelsen på databasen som ble brukt til studien. Men de bekreftet det “de vurderte dataene inneholder hundrevis av millioner datapunkter og hvert analysert spørsmål hadde over 1 million svar.” Vesentlige tall, vurderer deres estimerte brukerbasen.
I 2016 rullet United Airlines ut sin nye, oppdaterte sikkerhetsordning for sine kundekontoer. Det gamle systemet som stod på 4-sifrede PIN-koder, ble med rette ansett uegnet for kontoer som muligens inneholdt hundretusener av dollar med hyppige flier miles. Det oppdaterte systemet krever at brukerne oppgir et unikt passord, samt svar på fem personlige sikkerhetsspørsmål.
Høres bra ut, ikke sant? Bortsett fra United Airlines, spør kundene om å velge et sterkt unikt passord og svare på spørsmålene sine ved hjelp av et forhåndsinnstillet sett med svar. Det er riktig: forhåndsdefinerte svar. For eksempel, hvis du velger spørsmålet “I hvilken måned er dine beste venner bursdag,” dine ville-angripere har - du gjettet det - bare tolv svar på kamp gjennom. Tøffe tider.
United grunner det “De fleste sikkerhetsproblemer som våre kunder står overfor, kan spores til datavirus som registrerer skriving, og ved hjelp av forhåndsdefinerte svar beskytter mot denne typen inntrenging.”
Sikkerhetsforsker Brian Krebs snakket direkte til United Airlines direktør for IT-sikkerhetsinformasjonen Benjamin Vaughn. Vaughn sa selskapet “ble randomisering av spørsmålene til å konfrontere botprogrammer som søker å automatisere innsendelsen av svar, og at sikkerhetsspørsmålene besvart feil ville være "låst" og ikke spurt igjen.”
"Sikkerhetsspørsmål er den minst sikre måten å sikre noe på." Rik Ferguson @ TrendMicro # AISA2016
- Tracey Spicer (@TraceySpicer) 19. oktober 2016
I tillegg til dette bekreftet Vaughn til Krebs at flere mislykkede forsøk ville resultere i en låst konto. Følgelig må brukeren kommunisere direkte med United Airlines for å låse opp kontoen sin.
Konvensjonell visdom
United Airlines identifiserte et sikkerhetsproblem, men deres svar løste ikke helt problemet. Som vi har sett, er den eneste virkelige sikre måten å svare på et sikkerhetsspørsmål, likt et passord, ved å gi noe helt unikt og tilfeldig. Dette i håp om at potensielle hackere vil bli frustrert av kompleksiteten, og gå videre til neste konto.
Funnet om at allmennheten lider av tretthet i sikkerhet er viktig fordi det har implikasjoner på arbeidsplassen og i folks hverdag. Det er kritisk fordi mange mennesker banker på nettet, og siden helsevesenet og annen verdifull informasjon blir flyttet til internett.
Hvis folk ikke kan bruke sikkerhet, kommer de ikke til, og da vil vi og vår nasjon ikke være sikker.
- Kognitiv psykolog og Sikkerhet Tretthet medforfatter, Brian Stanton
Alas, sikkerhetsutmattelse er et veldig reelt problem. Brukere blir stadig mer trette. Sikkerhetsbrudd og tvungen tilbakestilling av passord er nå så vanlig, mange brukere ignorerer bare varsler. Denne tretthet fører til risikabel brukerdrift både hjemme og på arbeidsplassen. Vi foreslår:
- automat~~POS=TRUNC - Ta kontroll over sikkerheten din, og automatiser skanninger, sikkerhetskopier. Ikke betal opp. Slik slår du Ransomware! Ikke betal deg - hvordan å slå Ransomware! Tenk deg om noen viste seg på dørstokken din og sa: "Hei, det er mus i huset ditt som du ikke visste om. Gi oss $ 100, og vi blir kvitt dem." Dette er Ransomware ... Les mer og mer.
- Passordhåndtering - Passord administrasjonsløsninger tilgjengelig på Lastpass mestre passordene dine for godt med Lastpass Security Challenge Master passordene dine for godt med Lastpass Security Challenge Vi bruker så mye tid på nettet, med så mange kontoer som huske passord kan være veldig tøft. Bekymret for risikoen? Finn ut hvordan du bruker LastPass Security Challenge for å forbedre sikkerhetshygiene. Les mer eller KeyPass, og de begge tar vare på dine sikkerhetsspørsmål også.
- Ta eierskap - Datasikkerheten din er ditt ansvar. Vi har høye forventninger til institusjonene som holder dataene våre, og med rette. Når det er sagt, hvis du ikke pålegger sterke sikkerhetstiltak hjemme, deler du del av skylden.
Vi har skrevet mye om å overvinne sikkerhetsutmattelse. 3 måter å slå sikkerhetsutmattelse og holde seg trygg på nettet. 3 måter å slå sikkerhetsmøtthet og bli trygg på nett Sikkerhetstrening - en trøtthet for å håndtere online sikkerhet - er ekte, og det gjør mange mennesker mindre sikker. Her er tre ting du kan gjøre for å slå sikkerhetstrening og holde deg trygg. Les mer . Gi det en les, og ta kontroll over dine sikkerhetsspørsmål!
Hvordan svarer du på dine sikkerhetsspørsmål? Har du truffet det søte stedet? Eller bruker du et passordadministrasjonsprogram? Gi oss beskjed om sikkerhetsspørsmålene dine nedenfor!
Utforsk mer om: Passord.