Γιατί απαντάτε σε ερωτήσεις ασφαλείας κωδικού πρόσβασης Λάθος

Διαφήμιση

Κατά την εγγραφή σε μια νέα διαδικτυακή υπηρεσία, μας ζητείται πάντα να δημιουργήσουμε έναν κωδικό πρόσβασης. Αυτό ασφαλίζει αμέσως το νέο λογαριασμό. Εάν είστε λογικοί, επιλέγετε μια μεγάλη, εντελώς τυχαία συμβολοσειρά ή αφήστε μια εφαρμογή διαχείρισης κωδικού πρόσβασης να κάνει τη δουλειά Ο πλήρης οδηγός για την απλοποίηση και την ασφάλεια της ζωής σας με LastPass και XmarksΕνώ το σύννεφο σημαίνει ότι μπορείτε εύκολα να αποκτήσετε πρόσβαση στις σημαντικές πληροφορίες σας όπου κι αν βρίσκεστε, αυτό σημαίνει επίσης ότι έχετε πολλούς κωδικούς πρόσβασης για παρακολούθηση. Γι 'αυτό δημιουργήθηκε το LastPass. Διαβάστε περισσότερα για σενα. Στη συνέχεια ακολουθούν ερωτήσεις ασφαλείας.

Αυτές οι ερωτήσεις συνήθως ζητούν το πατρικό όνομα της μητέρας σας, το όνομα του δημοτικού σχολείου σας, το όνομα του πρώτου κατοικίδιου ζώου σας και ούτω καθεξής. Σχεδιασμένα για να διατηρούν τους λογαριασμούς μας ασφαλείς από πιθανούς χάκερ, οι ερωτήσεις ασφαλείας θα πρέπει να λειτουργούν ως μια επιπλέον γραμμή άμυνας.

Πώς απαντάτε σε αυτές τις ερωτήσεις; Λέτε την αλήθεια, ολόκληρη την αλήθεια, και τίποτα εκτός από την αλήθεια; Δυστυχώς, η αλήθεια σας θα μπορούσε να δημιουργεί ένα απροσδόκητο χτύπημα στην ηλεκτρονική σας πανοπλία. Ας ρίξουμε μια ματιά στο πώς ακριβώς εσείς πρέπει απαντά σε αυτές τις ερωτήσεις.

Ένα προστατευτικό εμπόδιο

Οι υποδείξεις κωδικού πρόσβασης είναι αναμφίβολα χρήσιμες. Θα εμφανιστεί μια χρήσιμη υπόδειξη εάν ξεχάσετε τον κωδικό πρόσβασης των Windows. Και αυτό συμβαίνει μετά από μία μόνο αποτυχημένη προσπάθεια. Στην περίπτωση του κωδικού πρόσβασης των Windows, η συμβουλή σας θα πρέπει να ανανεώσει τη μνήμη σας. Σας υπενθυμίζει ότι χρησιμοποιείτε μια υπόδειξη που έχετε επιλέξει, ώστε να μπορείτε να είστε τόσο κρυπτικοί ή ανοιχτοί όσο αισθάνεστε.

Οι ερωτήσεις ασφαλείας είναι διαφορετικές. Αντιμετωπίζουμε τακτικά τους γνωστούς συνδυασμούς ερωτήσεων που ανέφερα παραπάνω και παρέχουμε πρόθυμα ακριβείς απαντήσεις. Οι ερωτήσεις ασφαλείας παρουσιάζονται ως μια επιπλέον γραμμή άμυνας. Ωστόσο, θα πρέπει να εξετάσετε τη σχετική ευκολία να λάβετε μερικές από τις απαντήσεις στη σημερινή υπερ-συνδεδεμένη κοινωνία.

Ερευνητές ασφαλείας τακτικά θεωρούν τα ζητήματα ασφαλείας ως αδιάφορα Πώς να δημιουργήσετε μια ερώτηση ασφαλείας που κανείς άλλος δεν μπορεί να μαντέψειΤις τελευταίες εβδομάδες έχω γράψει πολλά για το πώς να κάνω ανακτήσιμους λογαριασμούς στο διαδίκτυο. Μια τυπική επιλογή ασφάλειας είναι η δημιουργία μιας ερώτησης ασφαλείας. Ενώ αυτό παρέχει δυνητικά έναν γρήγορο και εύκολο τρόπο ... Διαβάστε περισσότερα . Μπορούμε να έχουμε πίστη σε ένα μέτρο ασφαλείας του οποίου οι απαντήσεις μπορούν να ανακαλυφθούν τόσο εύκολα;

Το κάνω λάθος;

Οι επιτιθέμενοι λύνουν τις εύκολες ερωτήσεις Πώς να εντοπίσετε και να αποφύγετε 10 από τις πιο ύπουλες τεχνικές εισβολήςΟι χάκερ γίνονται πιο sneakier και πολλές από τις τεχνικές και τις επιθέσεις τους συχνά δεν γίνονται αντιληπτές ακόμη και από έμπειρους χρήστες. Εδώ είναι 10 από τις πιο ύπουλες τεχνικές hacking που πρέπει να αποφύγετε. Διαβάστε περισσότερα - χρώματα, παρθενικά ονόματα, πρώτα κατοικίδια - γιατί είναι εύκολα προσβάσιμο μέσω λογαριασμών κοινωνικών μέσων Πώς να προστατευτείτε από αυτές τις 8 επιθέσεις κοινωνικής μηχανικήςΠοιες τεχνικές κοινωνικής μηχανικής θα χρησιμοποιούσε ένας χάκερ και πώς θα προστατευόσασταν από αυτές; Ας ρίξουμε μια ματιά σε μερικές από τις πιο κοινές μεθόδους επίθεσης. Διαβάστε περισσότερα . Για να επιδεινωθούν τα πράγματα, εάν ο λογαριασμός σας χρησιμοποιεί εξαιρετικά συγκεκριμένες ερωτήσεις και απαντήσεις, ένας εισβολέας μπορεί να εξαλείψει άλλους πιθανούς κωδικούς πρόσβασης.

Για παράδειγμα, εάν η ερώτηση ασφαλείας ήταν "Πού αγοράσατε το πρώτο σας αυτοκίνητο;" ο εισβολέας μπορεί να αγνοήσει αμέσως άλλες, ευκολότερες απαντήσεις.

Είμαι βέβαιος ότι έχετε ήδη βιώσει την προφανή λύση σε αυτό το πρόβλημα ασφάλειας. Εάν ο εισβολέας ψάχνει μια απάντηση που σχετίζεται άμεσα με εσάς, γιατί να μην χρησιμοποιήσετε κάτι εντελώς διαφορετικό;

• Ποιο είναι το πατρικό όνομα της μητέραςσου? fa1c0npunc4
• που γνώρισες την σύζυγό σου; b1cycl3tyr3
• Ποιο ήταν το όνομα του πρώτου σου κατοικίδιου? n0str0d4mu5

Εντάξει, είναι τρομερά παραδείγματα, αλλά καταλαβαίνεις. Εάν η απάντηση είναι α) ασαφής και β) χρησιμοποιεί τυχαίους χαρακτήρες, θα έχετε αμέσως ορίστε τη γραμμή ασφαλείας των λογαριασμών σας που είναι λίγο υψηλότερη Έχετε κάνει αυτά τα 5 πρώτα βήματα για να ασφαλίσετε τους λογαριασμούς σας στο Διαδίκτυο;Είναι εκπληκτικό το πόσο πολλοί άνθρωποι αγνοούν αυτά τα βασικά στοιχεία της διασφάλισης του διαδικτύου. Αυτοί οι πέντε ιστότοποι και εργαλεία κάνουν την ασφάλεια στο διαδίκτυο ευκολότερη δουλειά. Διαβάστε περισσότερα .

Και αυτό θα με κάνει ασφαλή;

Ασφαλέστερα, φίλε, αλλά δεν είναι απολύτως ασφαλές.

Βλέπετε, το 2015, Δημοσίευση Google ένα ενδιαφέρον έγγραφο που εξερευνά τα μαθήματα που έχουν μάθει σχετικά με θέματα ασφάλειας. Χρησιμοποιώντας το σχεδόν ασύγκριτο σύνολο δεδομένων τους για να αναλύσουν τις μυστικές ερωτήσεις που έδωσε η μνημειώδης βάση χρηστών τους, προσπάθησαν να καταλάβουν πόσο αποτελεσματικό είναι αυτό το πρόσθετο επίπεδο ασφάλειας.

Η ανάλυσή μας επιβεβαιώνει ότι οι μυστικές ερωτήσεις προσφέρουν γενικά ένα επίπεδο ασφάλειας που είναι πολύ χαμηλότερο από τους κωδικούς πρόσβασης που επιλέγονται από τον χρήστη. Αποδεικνύεται ότι είναι ακόμη χαμηλότερο από τους πληρεξούσιους, όπως θα έδειχνε η πραγματική κατανομή των επωνύμων στον πληθυσμό.

Παραδόξως, διαπιστώσαμε ότι μια σημαντική αιτία αυτής της ανασφάλειας είναι ότι οι χρήστες συχνά δεν απαντούν με αλήθεια. Μια έρευνα χρηστών που πραγματοποιήσαμε αποκάλυψε ότι ένα σημαντικό ποσοστό χρηστών (37%) που παραδέχτηκαν ότι παρέχουν ψεύτικες απαντήσεις το έκαναν σε μια προσπάθεια να Κάντε τους «πιο δύσκολο να μαντέψουν», αν και συνολικά αυτή η συμπεριφορά είχε το αντίθετο αποτέλεσμα καθώς οι άνθρωποι «σκληρύνουν» τις απαντήσεις τους με προβλέψιμο τρόπο.

Γιατί προσπαθούμε να ψέψουμε, αλλά μετά το κάνουμε τόσο άσχημα; Όπως μπορείτε να δείτε στο παραπάνω γράφημα, η πλειονότητα των ερωτηθέντων παρέχει ψευδείς απαντήσεις με την πεποίθηση ότι θα αυξήσει την ασφάλειά τους. Μπορούμε τότε να υποθέσουμε ότι το ευρύ κοινό (αν και ένα μικρό στιγμιότυπο μιας τεράστιας βάσης δεδομένων) κατανοεί ότι οι ερωτήσεις ασφαλείας μπορούν και θα χρησιμοποιηθούν εναντίον τους.

Η ερευνητική ομάδα της Google καταλήγει τελικά στο συμπέρασμα ότι οι ερωτήσεις ασφαλείας είναι κάπως ασφαλείς ή εύκολο να θυμηθούν, αλλά ο χρυσός συνδυασμός είναι σπάνιος να βρεθεί. Ως εκ τούτου, "ενώ η Google προτιμά την ανάκτηση SMS και email, κανένας μηχανισμός δεν είναι τέλειος."

Ένα πρωταρχικό παράδειγμα

Δυστυχώς, η Google αρνήθηκε να προσφέρει το πραγματικό μέγεθος της βάσης δεδομένων που χρησιμοποιήθηκε για τη μελέτη. Ωστόσο, επιβεβαίωσαν ότι «τα δεδομένα που εξετάζονται περιέχουν εκατοντάδες εκατομμύρια σημεία δεδομένων και το καθένα Η ερώτηση που αναλύθηκε είχε πάνω από 1 εκατομμύριο απαντήσεις. " Ουσιαστικά στοιχεία, λαμβανομένων υπόψη των εκτιμώμενων βάση χρηστών.

Το 2016, η United Airlines παρουσίασε το νέο, ενημερωμένο σύστημα ασφαλείας για τους λογαριασμούς πελατών της. Το παλιό σύστημα που βασίστηκε σε 4-ψήφους PIN κρίθηκε σωστά ακατάλληλο για λογαριασμούς που ενδεχομένως περιείχαν εκατοντάδες χιλιάδες δολάρια συχνών μιλίων. Το ενημερωμένο σύστημα απαιτεί από τους χρήστες να εισάγουν έναν μοναδικό κωδικό πρόσβασης, καθώς και να απαντούν σε πέντε προσωπικές ερωτήσεις ασφαλείας.

Ακούγεται καλό, σωστά; Εκτός από την United Airlines ζητήστε από τους πελάτες τους να επιλέξουν έναν ισχυρό, μοναδικό κωδικό πρόσβασης και να απαντήσουν στις ερωτήσεις τους χρησιμοποιώντας ένα προκαθορισμένο σύνολο απαντήσεων. Αυτό είναι σωστό: προκαθορισμένες απαντήσεις. Για παράδειγμα, αν επιλέξετε την ερώτηση "Σε ποιον μήνα είναι τα γενέθλια των καλύτερων φίλων σας", οι επίδοξοι εισβολείς σας - το μαντέψατε - μόνο δώδεκα απαντήσεις στη μάχη. Δύσκολες στιγμές.

Ενωμένος λόγος ότι "τα περισσότερα ζητήματα ασφαλείας που αντιμετωπίζουν οι πελάτες μας μπορούν να εντοπιστούν σε ιούς υπολογιστών που καταγράφουν την πληκτρολόγηση και η χρήση προκαθορισμένων απαντήσεων προστατεύει από αυτόν τον τύπο εισβολής."

Ερευνητής ασφάλειας Brian Krebs μίλησε άμεσα στον διευθυντή πληροφοριών της ασφάλειας της πληροφορικής της United Airlines, Benjamin Vaughn. Ο Vaughn είπε ότι η εταιρεία «τυχαιοποιούσε τις ερωτήσεις για να συγχέει προγράμματα bot που επιδιώκουν να αυτοματοποιήσουν το υποβολή απαντήσεων και ότι οι ερωτήσεις ασφαλείας που απαντήθηκαν λανθασμένα θα «κλειδώνονταν» και δεν θα υποβάλλονταν πάλι."

"Οι ερωτήσεις ασφαλείας είναι ο λιγότερο ασφαλής τρόπος εξασφάλισης οτιδήποτε." Ρικ Φέργκιουσον @TrendMicro# AISA2016

- Tracey Spicer (@TraceySpicer) 19 Οκτωβρίου 2016

Εκτός από αυτό, ο Vaughn επιβεβαίωσε στον Krebs ότι πολλές ανεπιτυχείς προσπάθειες θα οδηγούσαν σε κλειδωμένο λογαριασμό. Κατά συνέπεια, ο χρήστης πρέπει να επικοινωνήσει απευθείας με την United Airlines για να ξεκλειδώσει τον λογαριασμό του.

Συμβατική σοφία

Η United Airlines εντόπισε μια ευπάθεια ασφαλείας, αλλά η απάντησή τους δεν έλυσε πλήρως το πρόβλημα. Όπως έχουμε δει, ο μόνος πραγματικά ασφαλής τρόπος για να απαντήσετε σε μια ερώτηση ασφαλείας είναι, όπως ένας κωδικός πρόσβασης, παρέχοντας κάτι πραγματικά μοναδικό και τυχαίο. Αυτό με την ελπίδα ότι οι πιθανοί χάκερ θα απογοητευτούν από την πολυπλοκότητα και θα προχωρήσουν στον επόμενο λογαριασμό.

Το εύρημα ότι το ευρύ κοινό πάσχει από κόπωση ασφαλείας είναι σημαντικό επειδή έχει επιπτώσεις στον χώρο εργασίας και στην καθημερινή ζωή των ανθρώπων. Είναι κρίσιμο, διότι τόσα πολλά άτομα κάνουν τραπεζική σύνδεση στο διαδίκτυο και επειδή η υγειονομική περίθαλψη και άλλες πολύτιμες πληροφορίες μεταφέρονται στο Διαδίκτυο.

Εάν οι άνθρωποι δεν μπορούν να χρησιμοποιήσουν την ασφάλεια, δεν πρόκειται, και τότε εμείς και το έθνος μας δεν θα είμαστε ασφαλείς.

- Γνωστικός ψυχολόγος και Κόπωση ασφαλείας συν-συγγραφέας, Brian Stanton

Δυστυχώς, η κόπωση της ασφάλειας είναι ένα πολύ πραγματικό πρόβλημα. Οι χρήστες είναι όλο και πιο κουρασμένοι. Οι παραβιάσεις ασφάλειας και οι αναγκαστικές επαναφορές κωδικού πρόσβασης είναι πλέον τόσο συχνές, πολλοί χρήστες απλώς αγνοούν τις ειδοποιήσεις. Αυτή η κόπωση οδηγεί σε επικίνδυνη συμπεριφορά των χρηστών τόσο στο σπίτι όσο και στο χώρο εργασίας. Προτείνουμε:

• Αυτοματοποίηση — Πάρτε τον έλεγχο της ασφάλειάς σας και αυτοματοποιήστε τις σαρώσεις, τα αντίγραφα ασφαλείας Μην πληρώνετε - Πώς να κερδίσετε το Ransomware!Φανταστείτε αν κάποιος εμφανιζόταν στο κατώφλι σας και είπε, "Γεια σου, υπάρχουν ποντίκια στο σπίτι σου για τα οποία δεν ήξερες. Δώστε μας 100 $ και θα τα ξεφορτωθούμε. "Αυτό είναι το Ransomware ... Διαβάστε περισσότερα κι αλλα.
• Διαχείριση κωδικών πρόσβασης — Οι λύσεις διαχείρισης κωδικού πρόσβασης διατίθενται στο LastPass Εξασφαλίστε τους κωδικούς πρόσβασής σας για καλό με την Πρόκληση ασφαλείας LastpassΞοδεύουμε τόσο πολύ χρόνο στο διαδίκτυο, με τόσους πολλούς λογαριασμούς, ότι η ανάμνηση των κωδικών πρόσβασης μπορεί να είναι πολύ δύσκολη. Ανησυχείτε για τους κινδύνους; Μάθετε πώς να χρησιμοποιείτε το LastPass 'Security Challenge για να βελτιώσετε την υγιεινή σας. Διαβάστε περισσότερα ή KeyPass, και και οι δύο φροντίζουν και τις ερωτήσεις ασφαλείας σας.
• Παίρνω ιδιοκτησία - Η ασφάλεια των δεδομένων σας είναι δική σας ευθύνη. Έχουμε υψηλές προσδοκίες από τα ιδρύματα που κατέχουν τα δεδομένα μας, και δικαίως. Ωστόσο, εάν δεν επιβάλλετε ισχυρά μέτρα ασφαλείας στο σπίτι, θα μοιραστείτε μέρος της ευθύνης.

Έχουμε γράφτηκε εκτενώς για την αντιμετώπιση της κόπωσης ασφαλείας 3 τρόποι για να νικήσετε την κόπωση της ασφάλειας και να παραμείνετε ασφαλείς στο ΔιαδίκτυοΗ κόπωση της ασφάλειας - μια αδυναμία αντιμετώπισης της ασφάλειας στο διαδίκτυο - είναι πραγματική και κάνει πολλούς ανθρώπους λιγότερο ασφαλείς. Εδώ είναι τρία πράγματα που μπορείτε να κάνετε για να νικήσετε την κόπωση της ασφάλειας και να διατηρήσετε τον εαυτό σας ασφαλή. Διαβάστε περισσότερα . Δώστε την ανάγνωση και ελέγξτε ξανά τις ερωτήσεις ασφαλείας σας!

Πώς απαντάτε στις ερωτήσεις ασφαλείας σας; Χτυπήσατε το γλυκό σημείο; Ή χρησιμοποιείτε μια εφαρμογή διαχείρισης κωδικού πρόσβασης; Ενημερώστε μας τις παρακάτω συμβουλές σχετικά με την ερώτηση ασφαλείας!