Studiu: Întrebări secrete nu protejează parolele

Chiar dacă soțul / soția nu cunoaște parola de e-mail, el probabil știe suficiente informații pentru ao obține.

Furnizorii de e-mail o așa-numită "întrebare secretă" ca mecanism de verificare pentru resetarea unei parole de cont. Dar răspunsul este adesea ușor de ghicit de către alți oameni care cunosc titularul de cont, potrivit unui nou studiu care va fi lansat în cadrul Simpozionului IEEE privind securitatea și confidențialitatea săptămâna aceasta în Oakland, California.

În alte cazuri, străinii pot furniza cu succes răspunsurile la unele întrebări, care este modul în care candidatul republican vice-prezidențial Sarah Palin a pierdut controlul asupra contului ei Yahoo. Studentul universitar acuzat de administrarea contului, David Kernell, a declarat că a durat mai puțin de o oră de cercetare online pentru a găsi răspunsurile corecte pentru întrebările de securitate pentru contul lui Palin.

[Citire suplimentară: Cum să eliminați programele malware de la dvs. Windows PC]

Studiul a analizat întrebările utilizate de Yahoo, Google, Microsoft și AOL în martie 2008. Într-un test, cercetătorii au asociat două persoane împreună, titularul contului de e-mail spunând că nu ar avea încredere în celălalt persoană cu parola lor. Atunci când a fost prezentată întrebarea secretă a titularului de cont, cealaltă persoană a ghicit-o drept 17 la sută din timp.

Printre cei doi care s-au încrezut reciproc, un partener a reușit să furnizeze răspunsul corect pentru un cont Hotmail în proporție de 28%, chiar dacă există întrebări scrise de un utilizator - sistemul pe care Google îl folosește acum - un străin complet ar putea ghici răspunsul la 15 la sută din timp în cinci încercări.

O parte din problemă este că întrebările sunt atât de blande încât un pic de căutări pe Internet poate aduce liste de emisiuni preferate de televiziune, sucuri, bere, actori etc. care ajută la ghicirea mai bine direcționată. De asemenea, datele geografice ajută la întrebări precum: "Care este echipa ta preferată de sport", a afirmat studiul. "Rezultatele noastre nu ne dau încredere că întrebările personale de azi fac un secret de autentificare adecvat", au scris autorii. "Cei care sunt greu de ghicit sunt mai puțin susceptibili de a fi aleși de utilizatori în primul rând, iar atunci când sunt aleși, este mai puțin probabil să fie amintiți."

Deși Yahoo a prezentat la un moment dat cel mai memorabil set de întrebări la momentul respectiv, participanții la studiu au uitat răspunsurile lor în termen de șase luni. Autorii au scris că Yahoo a înlocuit toate cele nouă întrebări de autentificare cu caracter personal în februarie.

Nu există o rezolvare ușoară a problemei. Multe alte site-uri Web depind de trimiterea unui e-mail la contul unei persoane pentru a verifica o persoană, dar din moment ce contul de poștă electronică trebuie verificat, acesta reprezintă o problemă.

O soluție posibilă pentru a împiedica atacurile de ghicit statistic ar fi să penalizați răspunsurile greșite în funcție de popularitatea lor. Mărimea pedepsei, scriu autorii, ar depinde de șansa ca utilizatorul legitim să răspundă cu mai multe răspunsuri populare înainte de a obține dreptul corect.

Datele din studiu sugerează că dacă o persoană înțelege incorect două răspunsuri populare pentru o întrebare, ei rareori primesc oa treia întrebare corectă.

De asemenea, autorii recomandă eliminarea întrebărilor care pot fi ghicite statistic mai mult de 10% din timp, precum "Care este orașul tău preferat?" Ei au definit un răspuns ca fiind ghicit statistic dacă se numără printre cele cinci răspunsuri cele mai populare oferite de alți participanți la studiul lor.

Un alt mecanism de autentificare ar putea fi un SMS (Serviciul de mesaje scurte) trimis de furnizorul de e-mail telefon mobil. Dar aceasta pune și întrebări de securitate, deoarece telefoanele sunt furate și pierdute, iar transmisia prin SMS are probleme de securitate, au scris.

Studiul a fost scris de Stuart Schechter și A.J. Berheim Brush de la Microsoft Research și Serge Egelman de la Universitatea Carnegie Mellon.