Чем опасны секретные вопросы



Чем опасны секретные вопросы


Секретные вопросы, на которые Google и многие другие компании спрашивают ответ в рамках процедуры восстановления доступа, рассматриваются как ИБ-экспертами, так и пользователями в больше степени как раздражающий фактор, нежели эффективная мера защиты. Информацию, которая помогает ответить на эти вопросы, зачастую довольно легко найти через профили в соцсетях и на других ресурсах. А в некоторых случаях достаточно и догадки. Как сообщает «Лаборатория Касперского», исследователи из компании Google представили отчет, который иллюстрирует, насколько прост этот процесс для злоумышленников, и, соответственно, насколько ограничены на самом деле возможности секретных вопросов. Например, в Google обнаружили, что в 19,7% случаев хакер может угадать любимое блюдо англоговорящих пользователей всего с одной попытки. А для атакующего, пытающегося взломать аккаунт пользователя из Кореи, в 43% случаев будет достаточно десяти попыток.

При подготовке отчета в Google проанализировали сотни миллионов секретных вопросов, на которые пользователи отвечали в ходе восстановления пароля. Вывод логичен: слишком простые вопросы не обеспечивают достаточной защиты, а слишком трудные бесполезны. Также эксперты обнаружили, что, даже если пользователи прилагают какие-либо усилия, чтобы сделать ответы не такими предсказуемыми, это не имеет значительного эффекта.

«Многие пользователи также предоставляют одинаковые ответы на секретные вопросы, которые, по идее, предлагают довольно высокий уровень безопасности, например, «Каков ваш номер телефона?» или «Каков номер вашей карты часто летающего пассажира?». Мы копнули чуть глубже, и выяснилось, что 37% пользователей намеренно предоставляют ложные ответы на свои вопросы, думая, что благодаря подобной тактике их будет труднее угадать. Тем не менее, последствия бывают довольно неприятными: предоставляя одни и те же ложные ответы, пользователи на самом деле увеличивают вероятность того, что злоумышленник может взломать акаунт», — отметили Эли Бурштейн (Elie Bursztein), возглавляющая исследовательскую группу по вопросам противодействия взломам в Google, и Илан Карон (Elan Caron), инженер-программист.

Согласно результатам исследования, 40% англоговорящих пользователей не могут вспомнить ответ на секретный вопрос, когда это необходимо для восстановления пароля. Стоит признать, что немногие люди могут похвалиться хорошей памятью на такие вещи, и усложнение процесса только усугубляет ситуацию.

«По нашим данным, самый простой для взлома секретный вопрос – это «В каком городе вы родились?». В 79% случаев пользователи смогли вспомнить правильный ответ. Второй пример простого вопроса – «Второе имя (middle name) вашего отца?», ответ на который был готов у 74% пользователей. Соответственно, при десяти попытках угадать ответ злоумышленнику удастся «взломать» этот бастион в 6,9% и 14,6% случаев», — указано в докладе Google.

«Но если пользователям необходимо ответь на оба этих вопроса сразу, разрыв между понятиями оптимальной простоты и достаточной безопасности выглядит резко увеличивается. Вероятность того, что злоумышленник может угадать ответы на оба вопроса с десяти раз, равна 1%, но пользователи тоже вспомнят оба ответа только в 59% случаев. Использование большего количества секретных вопросов – не лучшая идея; из-за этого многие столкнутся с проблемами при восстановлении доступа к своим аккаунтам».

Некоторые веб-сервисы переходят на двухфакторную аутентификацию, в рамках которой система отправляет им SMS с одноразовым кодом. Как отмечают эксперты, это намного более простой и безопасный метод.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
14.08.2020 18:15

В Пензе судят программиста, создавшего вредоносное ПО

Злоумышленники соблюдали строгие меры конспирации, общение между ними происходило через мессенджеры и электронные почтовые ящики

14.08.2020 17:56

Каждый третий россиянин не защищает свои данные во время отпуска

Как отмечают эксперты, средства двухфакторной аутентификации и антивирусное ПО помогут обеспечить безопасность смартфона и предотвратить негативные последствия киберугроз

14.08.2020 17:47

Microsoft выпустила августовские обновления, закрывающие сразу 120 уязвимостей

Компания Microsoft выпустила августовские обновления безопасности для закрытия 120 уязвимостей в своих продуктах, 17 из которых являются критическими

12.08.2020 18:03

Microsoft выплатила $13,7 млн за найденные уязвимости

Это почти втрое больше суммы вознаграждений, которые компания Microsoft выплатила за аналогичный период прошлого года

11.08.2020 15:31

МИД России обеспокоен ростом количества кибератак из Германии

Ранее МИД ФРГ заявил, что Берлин планирует активировать против России режим «киберсанкций» из-за хакерской атаки на бундестаг, предположительно совершенной россиянином

Популярное: Безопасность
07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть

29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить

14.08.2020 17:47

Microsoft выпустила августовские обновления, закрывающие сразу 120 уязвимостей

Компания Microsoft выпустила августовские обновления безопасности для закрытия 120 уязвимостей в своих продуктах, 17 из которых являются критическими

14.08.2020 18:15

В Пензе судят программиста, создавшего вредоносное ПО

Злоумышленники соблюдали строгие меры конспирации, общение между ними происходило через мессенджеры и электронные почтовые ящики

12.08.2020 18:03

Microsoft выплатила $13,7 млн за найденные уязвимости

Это почти втрое больше суммы вознаграждений, которые компания Microsoft выплатила за аналогичный период прошлого года

utrennik
utrennik, 24.05.2015 16:07
Это известный факт. Любая возможность обхода пароля может стать лазейкой для взлома аккаунта. В качестве ответа на секретный вопрос рекомендую использовать белиберду из 10+ символов.
Marmot
Marmot, 24.05.2015 14:00
Всё просто: ответ на секретный вопрос должен быть таким, чтобы его невозможно было угадать или подсмотреть в профиле в соцсетях. То есть, по-настоящему СЕКРЕТНЫМ! То, что кроме вас, не знает никто. Можно взять простой вопрос, но ответ должен быть "с подковыркой", например: кличка собаки - Протуберан...
» Прочитать остальные / Написать свой комментарий

Новости /
Безопасность /
Чем опасны секретные вопросы
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика