Hvorfor du svarer på spørsmål om passordssikkerhet galt

Annonse

Når vi melder oss på en ny online tjeneste, blir vi alltid bedt om å opprette et passord. Dette sikrer umiddelbart den nye kontoen. Hvis du er fornuftig, velger du en lang, helt tilfeldig streng, eller la en passordbehandlingsapp gjøre jobben Den komplette guiden for å forenkle og sikre livet ditt med LastPass og XmarksSelv om skyen betyr at du enkelt får tilgang til viktig informasjon uansett hvor du er, betyr det også at du har mange passord å holde rede på. Derfor ble LastPass opprettet. Les mer for deg. Neste i sekvensen kommer sikkerhetsspørsmål.

Disse spørsmålene ber vanligvis om mors mors navn, navnet på barneskolen din, navnet på det første kjæledyret ditt, og så videre. Sikkerhetsspørsmålene, som er designet for å holde våre kontoer trygge mot hackere, skal fungere som en ekstra forsvarslinje.

Hvordan svarer du på disse spørsmålene? Forteller du sannheten, hele sannheten og ikke annet enn sannheten? Dessverre kan din sannhet være å skape en uventet hake i din online rustning. La oss se på nøyaktig hvordan du gjør det bør svare på disse spørsmålene.

En beskyttende barriere

Tips om passord er utvilsomt nyttige. Et nyttig hint vil vises hvis du glemmer Windows-passordet. Og dette er bare etter et eneste mislykket forsøk. Når det gjelder Windows-passord, bør hintet ditt oppdatere hukommelsen. Det minner deg om å bruke et hint du har valgt, slik at du kan være så kryptisk eller åpen som du føler.

Sikkerhetsspørsmål er forskjellige. Vi møter jevnlig de kjente spørsmålskombinasjonene jeg nevnte ovenfor, og gir villig nøyaktige svar. Sikkerhetsspørsmål presenteres som en ekstra forsvarslinje. Du bør imidlertid vurdere den relative lettheten ved å få noen av svarene i dagens ultratilknyttede samfunn.

Sikkerhetsforskere regelmessig benytte sikkerhetsspørsmål som gløder Hvordan lage et sikkerhetsspørsmål som ingen andre kan gjetteDe siste ukene har jeg skrevet mye om hvordan du kan få online-kontoer utvinnbare. Et typisk sikkerhetsalternativ er å sette opp et sikkerhetsspørsmål. Selv om dette potensielt gir en rask og enkel måte å ... Les mer . Kan vi ha tro på et sikkerhetstiltak hvis svar kan oppdages så lett?

Jeg gjør det galt?

Angripere bytt de enkle spørsmålene Hvordan finne og unngå 10 av de mest lumske hackingsteknikkeneHackere blir snikere, og mange av teknikkene og angrepene deres blir ofte ikke lagt merke til av selv erfarne brukere. Her er 10 av de mest snikende hacking-teknikkene du kan unngå. Les mer - farger, pikenavn, første kjæledyr - fordi de er det lett tilgjengelig via sosiale mediekontoer Slik beskytter du deg mot disse 8 sosiale ingeniørangrepHvilke sosialtekniske teknikker vil en hacker bruke, og hvordan ville du beskytte deg mot dem? La oss se på noen av de vanligste angrepsmetodene. Les mer . For å gjøre vondt verre, kan en angriper eliminere andre potensielle passord hvis kontoen din bruker ekstremt spesifikke spørsmål og svar.

Hvis sikkerhetsspørsmålet for eksempel var "Hvor kjøpte du din første bil?" angriperen kan umiddelbart se bort fra andre, lettere svar.

Jeg er sikker på at du allerede har kvistet på den åpenbare løsningen på dette sikkerhetsproblemet. Hvis angriperen leter etter et svar som direkte er knyttet til deg, hvorfor ikke bruke noe helt annet?

• Hva er din mors pikenavn? fa1c0npunc4
• Hvor møtte du ektefellen din? b1cycl3tyr3
• Hva het ditt første kjæledyr? n0str0d4mu5

Ok, de er forferdelige eksempler, men du får tak i meg. Hvis svaret er a) uklar og b) bruker tilfeldige tegn, vil du gjøre det umiddelbart angi sikkerhetslinjen for kontoene dine som litt høyere Har du tatt disse 5 første trinnene for å sikre kontoene dine online?Det er overraskende hvor mange som ignorerer det grunnleggende om å sikre deg online. Disse fem nettstedene og verktøyene gjør online sikkerhet en enklere oppgave. Les mer .

Og det vil gjøre meg trygg?

Sikrere, venn, men ikke helt trygg.

I 2015 ser du Google publiserte et interessant dokument som undersøker leksjonene de har lært om sikkerhetsspørsmål. Ved å bruke det nesten uten sidestykke datasettet for å analysere de hemmelige spørsmålene som ble gitt av deres monumentale brukerbase, forsøkte de å forstå hvor effektivt dette ekstra sikkerhetslaget er.

Analysen vår bekrefter at hemmelige spørsmål generelt tilbyr et sikkerhetsnivå som er langt lavere enn passord som brukeren har valgt. Det viser seg å være enda lavere enn fullmakter som den virkelige fordelingen av etternavn i befolkningen skulle tilsi.

Overraskende fant vi ut at en betydelig årsak til denne usikkerheten er at brukere ofte ikke svarer sannferdig. En brukerundersøkelse vi gjennomførte, avslørte at en betydelig brøkdel av brukerne (37%) som innrømmet å gi falske svar, gjorde det i et forsøk på å gjøre det gjøre dem “vanskeligere å gjette”, selv om denne oppførselen samlet sett hadde den motsatte effekten da folk “herder” svarene sine på en forutsigbar måte.

Hvorfor prøver vi å lyve, men gjør det så dårlig? Som du ser i oversikten over, gir de fleste av de spurte falske svar med troen på at det vil øke sikkerheten. Vi kan da anta at allmennheten (om enn et lite øyeblikksbilde av en enorm database) forstår at sikkerhetsspørsmålene kan og vil bli brukt mot dem.

Google-forskerteamet konkluderer til slutt at sikkerhetsspørsmål enten er noe sikre eller lette å huske, men den gyldne kombinasjonen er sjelden å finne. Derfor "mens Google foretrekker gjenoppretting av SMS og e-post, er ingen mekanismer perfekt."

Et godt eksempel

Dessverre nektet Google å tilby den sanne størrelsen på databasen som ble brukt til studien. Imidlertid bekreftet de at “de vurderte dataene inneholder hundrevis av millioner datapunkter og hver spørsmål analysert hadde over 1 million svar. ” Betydelige tall, tatt i betraktning deres estimerte bruker-base.

I 2016 rullet United Airlines ut sin nye, oppdaterte sikkerhetsordning for kundekontoer. Det gamle systemet som stolte på firesifrede PIN-koder, ble med rette ansett som uegnet for kontoer som potensielt kunne inneholde hundretusenvis av dollar med hyppige flymiler. Det oppdaterte systemet krever at brukerne oppgir et unikt passord, samt svarer på fem personlige sikkerhetsspørsmål.

Høres bra ut, ikke sant? Bortsett fra at United Airlines ber kundene sine velge et sterkt, unikt passord, og svare på spørsmålene deres ved hjelp av et forhåndsbestemt sett med svar. Det stemmer: forhåndsbestemte svar. Hvis du for eksempel velger spørsmålet "I hvilken måned er din beste vennebursdag", har dine forventede angripere - du gjettet det - bare tolv svar på kamp. Tøffe tider.

United grunn til at "de fleste sikkerhetsproblemer kundene våre står overfor kan spores til datavirus som registrerer typing, og bruker forhåndsdefinerte svar beskytter mot denne typen inntrenging."

Sikkerhetsforsker Brian Krebs snakket direkte til United Airlines direktør for IT-sikkerhetsintelligens Benjamin Vaughn. Vaughn sa at selskapet “randomiserte spørsmålene for å forvirre bot-programmer som søker å automatisere innsending av svar, og at sikkerhetsspørsmål svarte feil ville være ‘låst’ og ikke stilt en gang til."

"Sikkerhetsspørsmål er den minst sikre måten å sikre noe som helst." Rik Ferguson @TrendMicro# AISA2016

- Tracey Spicer (@TraceySpicer) 19. oktober 2016

I tillegg til dette bekreftet Vaughn overfor Krebs at flere mislykkede forsøk ville resultere i en låst konto. Følgelig må brukeren direkte kommunisere med United Airlines for å låse opp kontoen sin.

Konvensjonell visdom

United Airlines identifiserte et sikkerhetsproblem, men svaret deres løste ikke helt problemet. Som vi har sett, er den eneste virkelig sikre måten å svare på et sikkerhetsspørsmål, omtrent som et passord, ved å tilby noe virkelig unikt og tilfeldig. Dette i håp om at potensielle hackere vil bli frustrert av kompleksiteten, og gå videre til neste konto.

Funnet at allmennheten lider av sikkerhetsutmattelse er viktig fordi det har implikasjoner på arbeidsplassen og i folks hverdag. Det er kritisk fordi så mange banker på nettet, og siden helsehjelp og annen verdifull informasjon blir flyttet til internett.

Hvis folk ikke kan bruke sikkerhet, kommer de ikke til det, og da vil vi og nasjonen vår ikke være sikre.

- Kognitiv psykolog og Sikkerhetsutmattethet medforfatter, Brian Stanton

Akk, er sikkerhetsutmattethet et veldig reelt problem. Brukere blir stadig mer slitne. Sikkerhetsbrudd og tilbakestillinger av tvangspassord er nå så vanlig at mange brukere bare ignorerer varsler. Denne utmattelsen fører til risikabel brukeratferd både hjemme og på arbeidsplassen. Vi foreslår:

• Automat — Ta kontroll over sikkerheten din, og automatiser skanninger, sikkerhetskopier Ikke betal opp - Hvordan slå Ransomware!Tenk om noen dukket opp på døren og sa: "Hei, det er mus i huset ditt som du ikke visste om. Gi oss $ 100, så blir vi kvitt dem. "Dette er Ransomware ... Les mer og mer.
• Passordhåndtering — Passordhåndteringsløsninger tilgjengelig i LastPass Beherske passordene dine for godt med Lastpass 'SikkerhetsutfordringVi bruker så mye tid på nettet, med så mange kontoer, at det kan være veldig tøft å huske passord. Bekymret for risikoen? Finn ut hvordan du bruker LastPass 'sikkerhetsutfordring for å forbedre sikkerhetshygienen. Les mer eller KeyPass, og de tar begge vare på sikkerhetsspørsmålene dine.
• Ta eierskap - Din datasikkerhet er ditt ansvar. Vi har høye forventninger til at institusjonene har dataene våre, og med rette. Når det er sagt, hvis du ikke innfører sterke sikkerhetstiltak hjemme, vil du dele en del av skylden.

Vi har skrevet mye om å overvinne sikkerhetsutmattelse 3 måter å slå sikkerhetsutmattelse på og være trygg på nettetSikkerhetsutmattethet - en tretthet for å takle online sikkerhet - er ekte, og det gjør mange mennesker mindre sikre. Her er tre ting du kan gjøre for å slå sikkerhetsutmattelse og holde deg trygg. Les mer . Les den, og ta tilbake kontrollen over sikkerhetsspørsmålene dine!

Hvordan svarer du på sikkerhetsspørsmålene dine? Har du truffet søtplassen? Eller bruker du en passordbehandlingsapp? Gi oss beskjed om dine spørsmål om sikkerhetsspørsmål nedenfor!