Çalışma: Gizli Sorular Şifrelerinizi Koruyun

Eşiniz e-posta parolanızı bilmiyor olsa bile, muhtemelen onu almak için yeterli bilgiyi biliyordur.

Ücretsiz e-posta sağlayıcıları sık sık Bir hesap şifresini sıfırlamak için doğrulama mekanizması olarak adlandırılan "gizli soru". Ancak, Kaliforniya, Oakland, Kaliforniya'da IEEE Güvenlik ve Gizlilik Sempozyumu sırasında yayımlanacak yeni bir araştırmaya göre, hesap sahibini tanıyan diğer insanlar tarafından cevaplar genellikle kolayca tahmin edilebilir.

Diğer durumlarda, yabancılar başarılı bir şekilde tedarik edebilirler. Bazı soruların yanıtları, Cumhuriyetçi başkan yardımcısı adayı Sarah Palin'in Yahoo hesabının kontrolünü nasıl kaybettiğini gösteriyor. Hesabı yargılamakla suçlanan üniversite öğrencisi David Kernell, Palin'in hesabına yönelik güvenlik soruları için doğru cevapları bulmak için çevrimiçi bir saatten az araştırma yaptığını söyledi.

[Ekstra okuma: Kötü amaçlı yazılım nasıl kaldırılır? Windows PC]

Çalışma, 2008 yılının Mart ayında Yahoo, Google, Microsoft ve AOL tarafından kullanılan sorulara baktı. Bir testte, araştırmacılar iki kişiyi bir araya getirdiler ve e-posta hesabı sahibi diğerine güvenmeyeceklerini söyledi Parolaları olan kişi. Hesap sahibinin gizli sorusuyla birlikte sunulduğunda, diğer kişi zamanın yüzde 17'sini doğru tahmin etti.

Birbirine güvenen iki kişi arasında bir ortak, bir Hotmail hesabı için doğru cevabı sağlayabildi. Çalışma şöyle dedi:

Google'ın şu anda kullandığı bir sistemle yazdığı sorularda bile, tam bir yabancı, beş girişimde zamanın yüzde 15'ini tahmin edebilir.

Problemin bir kısmı şu: sorular o kadar mülayim ki, internette biraz arama yapmak, daha fazla hedefe yönelik tahmin yapmayı mümkün kılan favori TV şovları, gazlı içecekler, biralar, aktörler vb. Ayrıca, coğrafi veriler “En sevdiğin spor takımın nedir?” Gibi sorularla yardımcı oluyor, dedi.

"Sonuçlarımız, bugünün kişisel sorularının yeterli kimlik doğrulama sırrı oluşturduğuna dair bize güven vermiyor" diye yazdı. "Tahmin edilmesi zor olanların, ilk etapta kullanıcılar tarafından seçilmesi daha az olasıdır ve seçildiğinde, hatırlanmaları daha az olasıdır."

Yahoo'da bir kerede en çok sorulan sorular dizisini sunmuş olmasına rağmen. Çalışmanın katılımcıları altı ay içinde kendi cevaplarını unuttular. Yazarlar, Yahoo'nun kişisel kimlik doğrulama sorularının dokuzunu da Şubat ayında değiştirdiğini yazdı.

Sorunun kolay bir çözümü yok. Birçok diğer Web sitesi, bir kişinin kimliğini doğrulamak için bir kişinin hesabına bir e-posta göndermesine bağlıdır, ancak e-posta hesabının kendisinin doğrulanması gerektiğinden, bir sorun teşkil eder.

İstatistiksel tahmin saldırılarını önlemek için olası bir çözüm popülaritesine bağlı olarak yanlış cevapları cezalandırmak olacaktır. Yazarların yazdığı cezanın büyüklüğü, meşru kullanıcının doğru cevap almadan önce birden çok popüler cevapla yanıt verme şansına bağlı olacaktır.

Araştırmadaki veriler, bir kişinin bir soru için iki popüler cevabı yanlış tahmin ederse, nadiren üçüncü bir soru hakkına sahipler.

Ayrıca, yazarlar, "En sevdiğin kasaba hangisi?" gibi zamanın yüzde 10'undan daha fazla istatistiksel olarak tahmin edilebilir soruların kaldırılmasını tavsiye ediyorlar. Araştırmaya katılan diğer kişiler tarafından sağlanan en popüler beş cevaptan biri ise, istatistiksel olarak tahmin edilebilir bir cevap olarak tanımlanmıştır.

Başka bir kimlik doğrulama mekanizması, bir e-posta sağlayıcısı tarafından bir kişiye gönderilen bir SMS (Kısa Mesaj Servisi) olabilir. cep telefonu. Ancak bu, güvenlik soruları da yaratıyor, çünkü telefonlar çalınmakta ve kayboluyor ve SMS iletimi güvenlik kaygıları var, yazdılar.

Çalışma Stuart Schechter ve A.J. Carnegie Mellon Üniversitesi'nden Microsoft Araştırma ve Serge Egelman'ın Berheim Fırçası.