为什么您回答密码安全性问题是错误的

当我们注册新的在线服务时,总是会要求我们创建一个密码。这将立即保护新帐户。如果您明智的话,可以选择一个完全随机的长字符串,或者让密码管理应用程序为您完成工作。序列中的下一个是安全性问题。

这些问题通常会询问您母亲的娘家姓,您的小学名称,您的第一个宠物的名称,等等。为了使我们的帐户免受可能的黑客攻击,安全问题应作为额外的防线。

您如何回答这些问题?您是否说出真相,全部真相,只说真相?不幸的是,您的真实性可能会在您的在线装甲中产生意想不到的漏洞。让我们来看看您应该应该如何回答这些问题。

保护屏障

密码提示无疑会有所帮助。如果您忘记Windows密码,将显示一个有用的提示。而这只是在一次失败的尝试之后。如果使用Windows密码,则提示应刷新您的内存。它使用选定的提示来提醒您,因此您可以根据自己的喜好隐秘或开放。

安全性问题有所不同。我们经常面对我上面提到的常见问题组合,并愿意提供准确的答案。安全性问题是作为另一道防线提出的。但是,您应该考虑在当今的超连接社会中相对容易获得一些答案的问题。

安全研究人员经常嘲笑安全问题,使其显得乏善可陈。我们可以相信能够轻易发现答案的安全措施吗?

我做错了吗?

攻击者会掠夺一些简单的问题。更糟糕的是,如果您的帐户使用了非常具体的问题和答案,则攻击者可以删除其他潜在的密码。

例如,如果安全性问题是“您在哪里购买了第一辆车?"可以立即忽略其他更简单的答案。

我敢肯定,您已经找到了解决此安全问题的明显方法。如果攻击者正在寻找与您直接相关的答案,为什么不使用完全不同的名称呢?

  • 您母亲的娘家姓是什么? fa1c0npunc4
  • 您在哪里认识您的配偶? b1cycl3tyr3
  • 您的第一个宠物叫什么名字? n0str0d4mu5

    • 好的,这是很糟糕的例子,但是您能理解我的意思。如果答案是a)晦涩难懂且b)使用随机字符,则您将立即将您的帐户的安全性栏设置得更高。

    这会让我安全吗?

    更安全,朋友,但并不完全安全。

    您会看到,在2015年,Google发布了一份有趣的文档,探讨了他们从安全问题中学到的课程。通过使用他们几乎无与伦比的数据集来分析其庞大的用户群提出的秘密问题,他们试图了解该附加安全层的有效性。

    我们的分析证实了秘密问题通常可以提供一个安全级别远低于用户选择的密码。事实证明,它甚至比人口中真实的姓氏分布所表示的代理要低。

    令人惊讶的是,我们发现造成这种不安全感的一个重要原因是用户经常不如实回答。我们进行的用户调查显示,承认提供虚假答案的用户中有很大一部分(37%)这样做是为了使他们“更难以猜测",尽管总的来说,这种行为与人们“强化"他们的行为产生相反的效果。

    我们为什么要撒谎,但这样做却很糟糕?如您在上表中所见,大多数受访者提供错误的答案,认为这会增加他们的安全性。然后,我们可以假设公众(尽管是一个巨大的数据库的一个很小的快照)确实了解可以并且将针对它们使用安全性问题。

    Google研究小组最终得出结论,认为安全性问题要么是有点安全或容易记住,但是很难找到黄金组合。因此,“尽管Google偏爱短信和电子邮件恢复,但没有完美的机制。"

    一个典型示例

    Unfortunately, Google declined to offer the true size of the database used for the study. However, they confirmed that “the data considered contains hundreds of millions of data points and each question analyzed had over 1 million answers.” Substantial figures, considering their estimated user-base.

    2016年,联合航空为其客户推出了新的,经过更新的安全方案帐户。正确地认为,依赖于4位PIN的旧系统不适用于可能包含数十万美元飞行常客里程的帐户。更新后的系统要求用户输入唯一的密码,并回答五个个人安全性问题。

    听起来不错,对吗?除了美联航要求他们的客户选择一个强大而独特的密码,然后使用预先确定的答案回答他们的问题。是的:预定的答案。例如,如果您选择问题“您最好的朋友生日是哪个月",您可能的攻击者(您猜到了)只有十二个答案可以解决。艰难的时期。

    统一的理由是“我们的客户面临的大多数安全问题都可以追溯到记录打字的计算机病毒,并且使用预定义的答案可以防止此类入侵。"

    安全研究员Brian Krebs直接向联合航空IT安全情报主管Benjamin Vaughn讲话。 Vaughn表示,该公司“正在将问题随机化,以使寻求自动提交答案的机器人程序变得混乱,并且错误回答的安全问题将被“锁定",不会再被询问。"

    -Tracey Spicer( @TraceySpicer)2016年10月19日

    与此同时,沃恩向克雷布斯证实,多次失败的尝试都会导致帐户被锁定。因此,用户必须直接与美联航联系以解锁其帐户。

    常规智慧

    美联航发现了一个安全漏洞,但他们的回答并不能完全解决问题。如我们所见,回答安全问题的唯一真正安全的方法是,就像提供密码一样,通过提供真正唯一且随机的信息。希望潜在的黑客会因其复杂性而受挫,并转移到下一个帐户。

    发现普通大众遭受安全疲劳之苦的发现很重要,因为它对工作场所和社区都有影响。人们的日常生活。至关重要的是,因为有这么多人在网上存钱,而且医疗保健和其他有价值的信息正被转移到互联网上。

    如果人们不能使用安全性,他们就不会这样做,那么我们和

    -认知心理学家和安全疲劳的合著者Brian Stanton

    A,安全疲劳是一个非常现实的问题。用户越来越累。现在,安全漏洞和强制密码重置非常普遍,许多用户只是忽略警报。这种疲劳会导致用户在家中和工作场所中出现危险的行为。我们建议:

  • 自动化 —控制您的安全性,并自动执行扫描,备份等等。
  • 密码管理 — LastPass或KeyPass中提供了密码管理解决方案,它们也都可以解决您的安全性问题。
  • 取得所有权-您的数据安全是您的责任。我们对拥有我们数据的机构寄予很高的期望,这是正确的。就是说,如果您不在家中采取强力的安全措施,那您应该承担部分责任。

    • 我们已广泛撰写了有关克服安全疲劳的文章。读一读,然后控制您的安全性问题!

    标签: