安全研究人員elie bursztein和ilan caron對google使用者使用的數以百萬計的密保問題及答案進行了資料分析,研究結果表明,密保這種“忘記密碼”後最基本的驗證方式存在諸多安全隐患。
你的密保問題安全嗎?
這些看似随機的問題有什麼共同點?他們都是典型的“密保問題/安全問題”。你很可能回答過這種密保問題——很多線上服務用這些問題幫助使用者在忘記密碼的情況下進入賬号,或者用作防止異地登入的額外安全保護。
盡管密保問題非常普及,他們的安全性和效率很少被深入研究過。我們對google使用者們使用的數以百萬計的安全問題和答案進行了分析,然後計算黑客猜解這些問題答案的可能性。
最終我們得出的結論是——密保問題既不安全也不可靠,它不能夠被單獨當做“忘記密碼”的恢複機制。因為所有的密保問題都有一個基本缺陷:問題的答案要麼安全但很難記憶,要麼容易記憶但并不安全。
易被猜解的密保問題
密碼保護答案通常都會包含大家都知道的某些資訊,或者由于文化的原因,答案被局限在某個小範圍裡面——比如某些國家中,有些姓比較常見。
我們的一些具體發現:
而如果将密保設為“你的手機号碼是什麼?”這類相對私密的問題呢?
我們研究表明,37%的使用者會故意為該問題設定為一個假的答案,并自作聰明地以為這會使得問題更難猜。事實上這種做法适得其反,因為很多人會想到一塊去并使用相同的“假答案”,這反而增加了攻擊者猜解正确的可能性。
問題安全了,但答案記不住了
“你母親在哪讀國小?”“你的圖書館卡号是多少?”這類密保問題的答案總歸安全了吧?是的,但是這種問題的答案也更加難以記憶。
調查顯示,40%美國使用者回想不起他們的安全問題答案,上述兩個問題,使用者想起正确答案的機率僅為22%和9%。
使用者對于相對簡單的問題“你父親的中間名?”記起答案的機率為76%,而“你的第一個手機号碼?”則隻有55%。
為什麼不增加安全問題呢?
相比一個密保問題,兩個或更多的密保問題猜解難度當然更大。但是代價就是使用者成功恢複賬号的機率大幅下降。
根據我們的資料,最簡單的問題是“你出生的城市?”,使用者有超過79%的機率回憶起答案;第二簡單的是“你父親的中間名?”,機率為74%。如果攻擊者有十次猜測機會,他們6.9%和14.6%的可能性能夠猜到問題的正确答案。
然而當使用者需要同時回答這兩個問題的時候,攻擊者十次猜測,同時猜中兩個答案的機率僅為1%,而使用者同時回答對兩個問題的機率也降至59%。
密保問題該淘汰了
密保問題是目前“忘記密碼”的基本方式。但是根據本文的分析,你會發現這種方式的使用者體驗真的令人失望。
研究人員還是建議産品盡可能使用其他驗證方式而不是密保問題,例如發送驗證碼到使用者的手機或者備用email位址。這些是更安全,使用者體驗更好的方法。
作者:sphinx
來源:51cto