Miks vastate parooliturvalisuse küsimustele valesti

Reklaam

Uue veebiteenuse kasutajaks registreerumisel palutakse meil alati parool luua. See kindlustab uue konto kohe. Kui olete mõistlik, valite pika täiesti juhusliku stringi või lase paroolihaldusrakendusel töö ära teha LastPassi ja Xmarki abil oma elu lihtsustamise ja kindlustamise täielik juhendKuigi pilv tähendab, et pääsete oma olulisele teabele hõlpsalt juurde kõikjal, kus see viibib, tähendab see ka seda, et teil on silma peal hoidmiseks palju paroole. Seetõttu loodi LastPass. Loe rohkem sinu jaoks. Järgmisena tulevad järjekorras turvaküsimused.

Nendes küsimustes küsitakse tavaliselt teie ema neiupõlvenime, põhikooli nime, teie esimese lemmiklooma nime jne. Turvaküsimused, mille eesmärk on kaitsta meie kontosid võimalike häkkerite eest, peaksid toimima täiendava kaitseliinina.

Kuidas neile küsimustele vastata? Kas sa räägid tõtt, kogu tõde ja ainult tõde? Kahjuks võib teie tõepärasus tekitada veebipõhises soomuses ootamatu lõksu. Vaatame täpselt, kuidas teil läheb peaks vastake neile küsimustele.

Kaitsev tõke

Paroolivihjetest on kahtlemata abi. Kui unustate Windowsi parooli, kuvatakse kasulik vihje. Ja see on pärast ainult ühte ebaõnnestunud katset. Windowsi parooli puhul peaks teie vihje mälu värskendama. See tuletab meelde teie valitud vihje kasutamist, nii et võite olla nii salajane või avatud kui tunnete.

Turvaküsimused on erinevad. Me seisame regulaarselt silmitsi tuttavate küsimuste kombinatsioonidega, mida ma eelpool mainisin, ja anname meeleldi täpseid vastuseid. Turvaküsimused on esitatud täiendava kaitseliinina. Peaksite siiski arvestama mõne vastuse saamise suhteliselt lihtsusega tänapäeva ülimalt ühendatud ühiskonnas.

Turvateadlased tuletab turvaküsimusi korrapäraselt laiali Kuidas luua turvaküsimus, mida keegi teine ​​ei suuda arvataViimastel nädalatel olen palju kirjutanud, kuidas muuta veebikontod taastatavaks. Tüüpiline turvavõimalus on turvaküsimuse seadistamine. Ehkki see võib pakkuda kiiret ja lihtsat viisi ... Loe rohkem . Kas meil võib olla usku turvameetmesse, mille vastused on nii hõlpsasti leitavad?

Kas ma teen seda valesti?

Ründajad võtavad ette lihtsaid küsimusi Kuidas märgata ja vältida kümmet kõige salakavalamat häkkimistehnikatHäkkerid muutuvad rämedamaks ning paljud nende tehnikad ja rünnakud jäävad isegi kogenud kasutajatele sageli märkamatuks. Siin on 10 kõige salakavalamat häkkimistehnikat, mida vältida. Loe rohkem - värvid, neiunimed, esimesed lemmikloomad - kuna nad on kergesti saadav sotsiaalmeedia kontode kaudu Kuidas kaitsta ennast nende 8 ühiskonnatehnoloogia rünnaku eestMilliseid sotsiaalse inseneritehnikaid häkker kasutaks ja kuidas kaitsta end nende eest? Vaatame mõnda kõige tavalisemat rünnakumeetodit. Loe rohkem . Olukorra halvendamiseks võib ründaja kõrvaldada muud potentsiaalsed paroolid, kui teie konto kasutab äärmiselt konkreetseid küsimusi ja vastuseid.

Näiteks kui turvaküsimus oli „Kust te oma esimese auto ostsite?” ründaja võib viivitamatult teisi lihtsamaid vastuseid eirata.

Olen kindel, et olete juba otsinud selle turvaprobleemi ilmse lahenduse. Kui ründaja otsib vastust, mis on otseselt seotud teiega, siis miks mitte kasutada midagi täiesti erinevat?

• Mis on su ema neiupõlvenimi? fa1c0npunc4
• Kus sa oma abikaasaga kohtusid? b1tsükl3tür3
• Mis oli su esimese lemmiklooma nimi? n0str0d4mu5

Olgu, need on kohutavad näited, aga sa püüad mu triivi kinni. Kui vastus on a) varja ja b) kasutab juhuslikke märke, saate kohe teada määrake oma kontode turvariba natuke kõrgemaks Kas olete teinud need viis esimest sammu oma konto veebis turvamiseks?On üllatav, kui paljud inimesed eiravad neid Interneti-põhise turvamise põhitõdesid. Need viis veebisaiti ja tööriista muudavad veebiturvalisuse lihtsamaks. Loe rohkem .

Ja see teeb mind turvaliseks?

Ohutum, sõber, kuid mitte täiesti ohutu.

Näete, 2015. aastal Google avaldas huvitav dokument, mis tutvustab õppetunde, mida nad on saanud turvaküsimuste osas. Kasutades nende monumentaalse kasutajabaasi poolt esitatud salajaste küsimuste analüüsimiseks nende peaaegu ületamatu andmekogumit, püüdsid nad mõista, kui tõhus see täiendav turvakiht on.

Meie analüüs kinnitab, et salajased küsimused pakuvad turvalisuse taset, mis on palju madalam kui kasutaja valitud paroolid. See osutub isegi madalamaks kui volikirjad, nagu perekonnanimede tegelik jaotus elanikkonnas viitaks.

Üllataval kombel leidsime, et selle ebakindluse oluline põhjus on see, et kasutajad ei vasta sageli tõeselt. Meie läbiviidud kasutajaküsitlusest selgus, et märkimisväärne osa kasutajatest (37%), kes tunnistasid võltsitud vastuste esitamist, tegid seda muudavad nad "raskemini arvatavaks", ehkki üldiselt oli sellel käitumisel vastupidine mõju, kuna inimesed "karastavad" oma vastuseid etteaimataval viisil.

Miks me proovime valetada, kuid teeme siis seda nii halvasti? Nagu ülaltoodud tabelist näete, annab enamik vastajaid valesid vastuseid uskudes, et see suurendab nende turvalisust. Seejärel võime eeldada, et üldsus (ehkki tohutu andmebaasi väike ülevaade) saab aru, et turvaküsimusi saab ja kasutatakse nende vastu.

Lõppkokkuvõttes järeldab Google'i uurimisrühm, et turvaküsimused on kas mõnevõrra turvalised või neid on lihtne meelde jätta, kuid kuldset kombinatsiooni on harva leida. Seega “kuigi Google eelistab SMS-ide ja e-posti taastamist, pole ükski mehhanism täiuslik.”

Peamine näide

Kahjuks keeldus Google pakkumast uuringus kasutatud andmebaasi tegelikku suurust. Siiski kinnitasid nad, et „vaadeldavad andmed sisaldavad sadu miljoneid andmepunkte ja igaüks neist analüüsitud küsimusele oli üle miljoni vastuse. ” Olulised arvud, arvestades nende hinnangulist kasutajabaas.

2016. aastal võttis United Airlines kasutusele oma uue, ajakohastatud turvaskeemi oma kliendikontodele. Vana süsteemi, mis tugines neljakohalistele PIN-koodidele, peeti õigustatult kontodeks, mis sisaldavad potentsiaalselt sadu tuhandeid dollareid sagedasi lendmiile. Uuendatud süsteem nõuab, et kasutajad sisestaksid unikaalse parooli ja vastaksid viiele isiklikule turbeküsimusele.

Kõlab hästi, eks? Välja arvatud United Airlines, paluge oma klientidel valida tugev unikaalne parool ja vastata nende küsimustele eelmääratud vastuste komplekti abil. See on õige: eelmääratud vastused. Näiteks kui valite küsimuse „Millisel kuul on teie parimate sõprade sünnipäev“, on teie potentsiaalsetel ründajatel - arvasite seda - kõigest kaksteist vastust võitlusele. Rasked ajad.

Ühendatud põhjus, et "enamikku meie klientide ees seisvatest turvaprobleemidest saab tuvastada arvutiviiruste üle, mis salvestavad masinakirjutamist, ja ettemääratletud vastuste kasutamine kaitseb seda tüüpi sissetungimise eest".

Turvateadlane Brian Krebs rääkis otse United Airlinesi IT-turbeteabe direktorile Benjamin Vaughnile. Vaughn ütles, et ettevõte "juhuslikult juhuslikult küsimused segamini robotprogrammid, mis püüavad automatiseerida vastuste esitamine ja et valesti vastatud turvaküsimused oleks lukustatud ja neid ei küsitaks jälle. ”

"Turvaküsimused on kõige vähem turvaline viis millegi tagamiseks." Rik Ferguson @TrendMicro# AISA2016

- Tracey Spicer (@TraceySpicer) 19. oktoober 2016

Lisaks kinnitas Vaughn Krebsile, et mitmete ebaõnnestunud katsete tulemuseks on lukustatud konto. Järelikult peab kasutaja oma konto avamiseks otseühenduma United Airlinesiga.

Tavaline tarkus

United Airlines tuvastas turvahaavatavuse, kuid nende vastus ei lahendanud probleemi täielikult. Nagu nägime, on turvaküsimusele vastamiseks ainus tõeliselt ohutu viis, nagu parool, midagi tõeliselt ainulaadset ja juhuslikku pakkudes. Seda lootuses, et potentsiaalsed häkkerid on keerukusest pettunud ja liiguvad järgmisele kontole.

Järeldus, et elanikkond kannatab turvalisuse väsimuse all, on oluline, kuna sellel on mõju töökohale ja inimeste igapäevaelule. See on kriitiline, kuna nii palju inimesi panka paneb Interneti kaudu ja kuna tervishoiuteenused ja muu väärtuslik teave kolitakse Internetti.

Kui inimesed ei saa turvalisust kasutada, siis nad seda ei tee ja siis pole meie ega meie rahvas turvalised.

- Kognitiivne psühholoog ja Turvaväsimus kaasautor Brian Stanton

Turvaväsimus on väga tõsine probleem. Kasutajad on üha enam väsinud. Turvarikkumised ja parooli sunnitud lähtestamine on nüüd nii tavalised, paljud kasutajad ignoreerivad teateid lihtsalt. See väsimus põhjustab kasutaja ohtlikku käitumist nii kodus kui ka töökohal. Soovitame:

• Automatiseeri — Võtke oma turvalisuse üle kontrolli ja automatiseerige skannimisi, varundamisi Ära maksa - kuidas võita Ransomware!Kujutage vaid ette, kui keegi ilmuks teie uksele ja ütleks: "Kuule, teie majas on hiired, kellest te ei teadnud. Andke meile 100 dollarit ja me vabaneme neist. "See on Ransomware ... Loe rohkem ja veel.
• Paroolide haldamine — LastPassis saadaval paroolihalduslahendused Hoolitsege oma paroolidega Lastpass 'Turvalisuse väljakutse abilVeedame nii palju aega võrgus ja nii palju kontosid, et paroolide meeldejätmine võib olla väga raske. Kas olete mures riskide pärast? Siit saate teada, kuidas kasutada LastPassi turvaväljakutset oma turvahügieeni täiustamiseks. Loe rohkem või KeyPass ja mõlemad hoolitsevad ka teie turvaküsimuste eest.
• Võtke omandiõigus - Teie andmete turvalisus on teie kohustus. Meil on kõrged ootused, et asutused, kes meie andmeid hoiavad, ja õigustatult. Siiski, kui te ei kehtesta kodus tugevaid turvameetmeid, jagate osa süüst.

Me oleme kirjutatud põhjalikult turvaväsimusest ülesaamiseks 3 viisi turvalisuse väsimuse leevendamiseks ja veebis turvaliseks püsimiseksTurvaväsimus - Interneti-turbega tegelemise väsimus - on tõeline ja see muudab paljud inimesed vähem turvaliseks. Siin on kolm asja, mida saate teha turvaväsimusest ülesaamiseks ja enda turvalisuse tagamiseks. Loe rohkem . Laske see lugeda ja kontrollige oma turvaküsimusi uuesti!

Kuidas vastate oma turvaküsimustele? Kas olete magusat kohta löönud? Või kasutate paroolihaldusrakendust? Andke meile allpool oma turvaküsimuste näpunäiteid!