Varför du svarar på lösenordssäkerhetsfrågor fel
När vi registrerar dig för en ny onlinetjänst, blir vi alltid ombedda att skapa ett lösenord. Detta säkerställer omedelbart det nya kontot. Om du är förnuftig väljer du en lång, helt slumpmässig sträng eller låter en lösenordshanteringsapp göra jobbet. Den fullständiga handboken för att förenkla och säkra ditt liv med LastPass och Xmarks Den fullständiga handboken för att förenkla och säkra ditt liv med LastPass och Xmarks Medan molnet betyder att du enkelt kan få tillgång till din viktiga information var du än är, betyder det också att du har många lösenord för att hålla reda på. Därför skapades LastPass. Läs mer för dig. Nästa i sekvensen kommer säkerhetsfrågor.
Dessa frågor frågar vanligtvis efter din mors pigenamn, namnet på din grundskola, namnet på ditt första husdjur och så vidare. Utformad för att hålla våra konton säkra från hackare, bör säkerhetsfrågorna fungera som en extra försvarskrets.
Hur svarar du på dessa frågor? Berättar du sanningen, hela sanningen och ingenting annat än sanningen? Tyvärr kan din sanningsenhet skapa en oväntad chink i din onlinepansar. Låt oss ta en titt på exakt hur du skall svara på dessa frågor.
En skyddande barriär
Lösenord tips är utan tvekan hjälp. En bra ledtråd kommer att visas om du glömmer ditt Windows-lösenord. Och detta är efter bara ett enda misslyckat försök. När det gäller Windows-lösenordet bör din hint uppdatera ditt minne. Det påminner dig om att använda en ledtråd du har valt, så du kan vara så kryptisk eller öppen som du känner.
Säkerhetsfrågor är olika. Vi möter regelbundet de bekanta frågekombinationerna jag nämnde ovan och ger gärna noggranna svar. Säkerhetsfrågor presenteras som en extra försvarskrets. Du bör dock överväga den relativa lättheten att få några av svaren i dagens extremt sammanhängande samhälle.
Säkerhetsforskare avbryter regelbundet säkerhetsfrågor som lackluster Hur man skapar en säkerhetsfråga som ingen annan kan gissa Hur man skapar en säkerhetsfråga som ingen annan kan gissa Under de senaste veckorna har jag skrivit mycket om hur man gör online-konton återställbara. Ett typiskt säkerhetsalternativ ställer in en säkerhetsfråga. Även om detta möjligen ger ett snabbt och enkelt sätt att ... Läs mer. Kan vi ha förtroende för en säkerhetsåtgärd vars svar så lätt kan upptäckas?
Jag gör det fel?
Attackers byta sig på de enkla frågorna Hur man upptäcker och undviker 10 av de mest otillåtna hackningsteknikerna. Hur man upptäcker och undviker 10 av de mest otillåtna hackteknikerna. Hackare blir snyggare och många av deras tekniker och attacker går ofta obemärkt av till och med erfarna användare. Här är 10 av de mest skrämmande hackningsteknikerna för att undvika. Läs mer - färger, piga namn, första husdjur - eftersom de lätt kan erhållas genom sociala medier konton Hur man skyddar dig från dessa 8 sociala teknikattacker Hur man skyddar dig från dessa 8 sociala teknikattacker Vilka sociala teknikstekniker skulle hackare använda och hur skulle du skydda dig från dem? Låt oss ta en titt på några av de vanligaste metoderna för attack. Läs mer . För att göra saken värre, om ditt konto använder extremt specifika frågor och svar kan en angripare eliminera andra potentiella lösenord.
Till exempel, om säkerhetsfrågan var “Var köpte du din första bil?” angriparen kan omedelbart bortse från andra enklare svar.
Jag är säker på att du redan har tolkat den uppenbara lösningen på detta säkerhetsproblem. Om angriparen letar efter ett svar som direkt berör dig, varför inte använda något helt annat?
- Vad är din mammas flicknamn? fa1c0npunc4
- var träffade du din partner? b1cycl3tyr3
- Vad hette ditt första husdjur? n0str0d4mu5
Okej, det är fruktansvärda exempel, men du tar min drift. Om svaret är a) obskilt och b) använder slumpmässiga tecken, ställer du omedelbart säkerhetsfältet på dina konton som är högre. Har du tagit dessa 5 första steg för att säkra dina konton online? Har du tagit dessa 5 första steg för att säkra dina konton online? Det är förvånande hur många människor ignorerar dessa grunder att säkra dig online. Dessa fem webbplatser och verktyg gör online-säkerhet enklare. Läs mer .
Och det gör mig säker?
säkrare, vän, men inte helt säker.
Du ser att Google år 2015 publicerade ett intressant dokument för att utforska de lektioner som de har lärt sig om säkerhetsfrågor. Med hjälp av deras nästan oöverträffade dataset för att analysera de hemliga frågorna som gavs av deras monumentala användarbas, försökte de förstå hur effektivt detta extra säkerhetslager är.
Vår analys bekräftar att hemliga frågor generellt erbjuder en säkerhetsnivå som är långt lägre än användardefinierade lösenord. Det visar sig vara ännu lägre än proxier som den verkliga fördelningen av efternamn i befolkningen skulle indikera.
Överraskande fann vi att en betydande orsak till denna osäkerhet är att användarna ofta inte svarar sanningsenligt. En användarundersökning som vi genomförde visade att en betydande andel användare (37%) som medgav att ge falska svar gjorde det i ett försök att göra dem “svårare att gissa” även om det på aggregat hade detta motsats som människor “härda” deras svar på ett förutsägbart sätt.
Varför försöker vi ljuga, men gör det så dåligt? Som du kan se i diagrammet ovan, ger majoriteten av respondenterna falska svar med tron att det kommer att öka deras säkerhet. Vi kan då anta att allmänheten (om än en liten ögonblicksbild av en enorm databas) förstår att säkerhetsfrågorna kan och kommer att användas mot dem.
Google-forskargruppen drar i slutändan ut att säkerhetsfrågor antingen är något säkra eller enkla att komma ihåg, men den gyllene kombinationen är sällsynt att hitta. Därav “medan Google föredrar SMS och e-poståterställning, är ingen mekanism perfekt.”
Ett första exempel
Tyvärr har Google nekat att erbjuda den sanna storleken på den databas som användes för studien. Men de bekräftade det “Den övervägda data innehåller hundratals miljoner datapunkter och varje analyserad fråga hade över 1 miljon svar.” Väsentliga siffror, med tanke på deras beräknade användarbas.
I 2016 rullade United Airlines ut sitt nya, uppdaterade säkerhetsprogram för sina kundkonton. Det gamla systemet som förlitade sig på 4-siffriga PIN-koder ansågs med rätta olämpliga för konton som potentiellt innehöll hundratusentals dollar av frekventa flyger miles. Det uppdaterade systemet kräver att användarna anger ett unikt lösenord, samt svarar på fem personliga säkerhetsfrågor.
Låter bra, eller hur? Utom United Airlines ber deras kunder att välja ett starkt unikt lösenord och svara på sina frågor med hjälp av en förutbestämd uppsättning svar. Det är rätt: förutbestämda svar. Till exempel, om du väljer frågan “I vilken månad är din bästa vänner födelsedag,” dina angripare har - du gissade det - bara tolv svar på kampen genom. Hårda tider.
United förnuft att “De flesta säkerhetsproblem som våra kunder möter kan spåras till datavirus som registrerar skrivning och att använda fördefinierade svar skyddar mot denna typ av intrång.”
Säkerhetsforskare Brian Krebs talade direkt till United Airlines direktör för IT-säkerhetsunderrättelse Benjamin Vaughn. Vaughn sa företaget “Randomisering av frågorna för att konfrontera botprogram som syftar till att automatisera inlämning av svar, och att säkerhetsfrågor svarade felaktigt skulle vara "låsta" och inte ombedda igen.”
"Säkerhetsfrågor är det säkraste sättet att säkra någonting." Rik Ferguson @ Trend Micro # AISA2016
- Tracey Spicer (@TraceySpicer) 19 oktober 2016
Förutom detta bekräftade Vaughn till Krebs att flera misslyckade försök skulle leda till ett låst konto. Följaktligen måste användaren direkt kommunicera med United Airlines för att låsa upp sitt konto.
Konventionell visdom
United Airlines identifierade ett säkerhetsproblem, men deras svar löste inte helt problemet. Som vi har sett är det enda riktigt säkra sättet att svara på en säkerhetsfråga, mycket som ett lösenord, genom att ge något riktigt unikt och slumpmässigt. Detta i hopp om att potentiella hackare kommer att bli frustrerade av komplexiteten och gå vidare till nästa konto.
Upptäckten att allmänheten lider av säkerhetsutmattning är viktigt eftersom det har konsekvenser på arbetsplatsen och i människors vardag. Det är avgörande för att så många människor bankar online, och sedan hälso- och sjukvård och annan värdefull information flyttas till Internet.
Om människor inte kan använda säkerhet, kommer de inte att, och då kommer vi och vår nation inte att vara säkra.
- Kognitiv psykolog och Säkerhetsträthet medförfattare, Brian Stanton
Tyvärr är säkerhetsutmattning ett mycket verkligt problem. Användarna blir alltmer trötta. Säkerhetsöverträdelser och tvingade lösenordsåterställningar är nu så vanliga, många användare ignorerar helt enkelt varningar. Denna utmattning leder till riskabelt användarbeteende både hemma och på arbetsplatsen. Vi föreslår:
- Automatisera - Ta kontroll över din säkerhet och automatisera skanningar, säkerhetskopior Betala inte upp - Hur man slår Ransomware! Betala inte upp - Hur man slår Ransomware! Tänk dig om någon dykt upp på din tröskel och sa: "Hej, det finns möss i ditt hus som du inte visste om. Ge oss 100 dollar och vi kommer bli av med dem." Detta är Ransomware ... Läs mer och mer.
- Lösenordshantering - Lösenordshanteringslösningar som finns tillgängliga i LastPass Master dina lösenord för bra med Lastpass säkerhetsutmaning Mäter dina lösenord till bra med Lastpass säkerhetsutmaning Vi spenderar så mycket tid online med så många konton som minns lösenord kan vara väldigt tufft. Bekymrad om riskerna? Ta reda på hur du använder LastPass säkerhetsutmaning för att förbättra din säkerhetshygien. Läs mer eller KeyPass, och de tar hand om dina säkerhetsfrågor.
- Ta äganderätt - Din datasäkerhet är ditt ansvar. Vi har höga förväntningar på de institutioner som håller våra uppgifter, och med rätta. Med det sagt, om du inte vidtar starka säkerhetsåtgärder hemma, delar du del av skulden.
Vi har skrivit i stor utsträckning om att övervinna säkerhetsutmattning. 3 sätt att slå säkerhetsutmattning och vara säker på nätet. 3 sätt att slå säkerhet. Trötthet och vara säker. Online-säkerhetsmattning - en trötthet för att hantera onlinesäkerhet - är verklig, och det gör många människor mindre säkra. Här är tre saker du kan göra för att slå ut säkerhetsutmattning och hålla dig säker. Läs mer . Ge det en läsning och ta tillbaka kontrollen över dina säkerhetsfrågor!
Hur svarar du på dina säkerhetsfrågor? Har du träffat den söta platsen? Eller använder du en lösenordshanteringsapp? Låt oss veta dina säkerhetsfrågor tips nedan!
Utforska mer om: Lösenord.