Undersøgelse: Hemmelige spørgsmål Beskyt ikke adgangskoder

Selvom din ægtefælle ikke kender din e-mail-adgangskode, ved han eller hun nok nok information til at få det.

Gratis e-mail-udbydere er ofte til stede et såkaldt "hemmeligt spørgsmål" som en verifikationsmekanisme for at nulstille et adgangskode til en konto. Men svaret er ofte nemt gættet af andre mennesker, der kender kontohaveren, ifølge en ny undersøgelse, der skal udgives under IEEE Symposium om sikkerhed og privatliv i denne uge i Oakland, Californien.

I andre tilfælde kan fremmede med succes levere svarene på nogle spørgsmål, hvilket er, hvordan republikanske vicepræsidentkandidat Sarah Palin mistede kontrollen med sin Yahoo-konto. Den universitetsstuderende, der blev anklaget for at overtale kontoen, David Kernell, sagde, at det tog mindre end en times forskning online at finde de rigtige svar på sikkerhedsspørgsmålene til Palins konto.

[Yderligere læsning: Sådan fjernes malware fra din Windows PC]

Undersøgelsen undersøgte de spørgsmål, der blev brugt af Yahoo, Google, Microsoft og AOL i marts 2008. I en test parrede forskerne to personer sammen, hvor e-mail-kontohaveren sagde, at de ikke ville stole på den anden person med deres adgangskode. Når den blev præsenteret for kontohaverens hemmelige spørgsmål, gættede den anden den rigtigt 17 procent af tiden.

Blandt to personer, der stoler på hinanden, kunne en partner levere det rigtige svar til en Hotmail-konto 28 procent af tiden, siger undersøgelsen.

Selv om der er skrevet spørgsmål fra en bruger - det system, som Google nu anvender - kunne en komplet fremmed gætte svaret 15 procent af tiden inden for fem forsøg.

En del af problemet er, at Spørgsmålene er så kedelige, at en smule internet søgning kan frembringe lister over foretrukne tv-shows, sodavand, øl, skuespillere osv., der hjælper med at gøre målrettet gætter mulig. Også geografiske data hjælper med spørgsmål som "Hvad er dit yndlingssporthold", siger undersøgelsen.

"Vores resultater giver os ikke tillid til, at dagens personlige spørgsmål giver en passende autentificering hemmelighed," forfatterne skrev. "De, der er svært at gætte, er mindre tilbøjelige til at blive valgt af brugerne i første omgang, og når de vælges, er de mindre tilbøjelige til at blive husket."

Selv om Yahoo på et tidspunkt præsenterede det mest mindeværdige sæt spørgsmål på det tidspunkt, glemte undersøgelsens deltagere deres egne svar inden for seks måneder. Forfatterne skrev, at Yahoo erstattede alle ni af sine personlige godkendelsesspørgsmål i februar.

Der er ikke nogen nem løsning på problemet. Mange andre websteder er afhængige af at sende en e-mail til en persons konto for at bekræfte en person, men da e-mail-kontoen selv skal verificeres, er det et problem.

En mulig løsning for at afværge statistiske gætteangreb ville være at straffe fejlagtige svar afhængigt af deres popularitet. Størrelsen af ​​straffen, som forfatterne skriver, vil afhænge af chancen for, at den legitime bruger reagerer med flere populære svar, inden han får den rigtige.

Data i undersøgelsen antyder, at hvis en person fejlagtigt gætter på to populære svar på et spørgsmål, de får sjældent et tredje spørgsmål ret.

Forfatterne anbefaler også at eliminere spørgsmål, der statistisk gætter på mere end 10 procent af tiden, f.eks. "Hvad er din yndlingsby?" De definerede et svar som statistisk gætte, hvis det er blandt de fem mest populære svar fra andre deltagere i deres undersøgelse.

En anden godkendelsesmekanisme kan være en SMS (Short Message Service), der sendes af e-mail-udbyderen til en persons mobiltelefon. Men det stiller også sikkerhedsspørgsmål, da telefoner bliver stjålet og tabt, og SMS-transmission har sikkerhedsproblemer, skrev de.

Studien blev skrevet af Stuart Schechter og A.J. Berheim børste af Microsoft Research og Serge Egelman fra Carnegie Mellon University.