Stfw.RuСекретные вопросы небезопасны
"Секретные" вопросы, на которые пользователи отвечают, когда желают восстановить пароль от почты, не защищают от злоумышленников - их крайне без труда подобрать, сказано в результатах изучения кембриджского исследователя Джозефа Бонно (Joseph Bonneau).
🕛 12.03.2010, 21:07
Опыт ученых продемонстрировал, что путем подбора ответов на вспомогательные вопросы возможно взломать любой 80-ый аккаунт.Учёные из Кембриджа (Бонно и двое его коллег) проанализировали 270 млн. экаунтов в Facebook. Оказалось, что если кто-то желает взломать почтовый аккаунт иного человека путем подбора ответов на вопрос, ему весьма может хватить некоторого количества час. для поиска соответствующей информации. И это при условии, что, чаще всего, почтовая система безопасности предоставляет 3 старания ответить на вопрос - а после временно блокирует аккаунт.
Информация, которую пользователи сообщают в качестве ответов на вспомогательные вопросы в ходе регистрации аккаунтов, может оказаться публичной и сильно известной - включая девичью фамилию матери или её II-е имя (подобные данные при "счастливом" для злоумышленника раскладе возможно без труда обнаружить в Google). К тому же, пользователи нередко не задумываются о том, что подобрать реакция на их вопрос возможно просто наобум.
К примеру, многим кажется хорошим и крайне личным вопросом "фамилия I-ой учительницы", и злоумышленник на самом деле может не знать ответа (если лишь почту не собралась взламывать сама учительница или старый школьный товарищ). Вот лишь если фамилия I-ой учительницы - миссис Смит, то её возможно подобрать, даже не зная правильного ответа, потому как в мире живет отнюдь не 1 преподавательница младших классов, которую так зовут.
По заверениям Бонно, учёные даже не предполагали, что итоги будут такими грустными. Если учесть, что систему вопросов применяют даже банки и иные серьезные учреждения, а к почтовым адресам, чаще всего, привязаны наиболее различные сервисы, возможно представить себе масштабы бедствия. Надо заметить, что чаще всего вспомогательные вопросы даже не нужны - многие пользователи с радостью дарят доступ к собственным почтовым ящикам и аккаунтам в общественных сетях, используя пароли типа "123456".
Ситуацию возможно улучшить, полагают учёные, если отказаться от примитивной и, по большому счету, никого не защищающей системы вспомогательных вопросов, используя иные средства. Или усложнить процесс, заставив пользователя отвечать немедленно на несколько вопросов.
Напомним, Джозеф Бонно специализируется на вопросах конфиденциальности и защиты в общественных сетях. Г. в процессе эксперимента ему удалось узнать, что социальные сервисы продолжают хранить изображения, удаленные пользователями.