Dlaczego odpowiadasz na pytania zabezpieczające Niepoprawne

  • Joseph Goodman
  • 0
  • 1948
  • 262
Reklama

Kiedy rejestrujemy się w nowej usłudze online, niezmiennie jesteśmy proszeni o utworzenie hasła. To natychmiast zabezpiecza nowe konto. Jeśli masz rozsądek, wybierasz długi, całkowicie losowy ciąg znaków lub pozwalasz aplikacji do zarządzania hasłami. Kompletny przewodnik po uproszczeniach i zabezpieczeniach swojego życia za pomocą LastPass i Xmarks Kompletny przewodnik po uproszczeniach i zabezpieczających życiu za pomocą LastPass i Xmarków Chociaż chmura oznacza, że ​​możesz łatwo uzyskać dostęp do ważnych informacji w dowolnym miejscu, ale oznacza to również, że masz wiele haseł do śledzenia. Właśnie dlatego powstał LastPass. dla Was. Następne w kolejności są pytania bezpieczeństwa.

Pytania te zwykle dotyczą nazwiska panieńskiego matki, imienia szkoły podstawowej, imienia twojego pierwszego zwierzaka i tak dalej. Pytania bezpieczeństwa, zaprojektowane w celu ochrony naszych kont przed potencjalnymi hakerami, powinny stanowić dodatkową linię obrony.

Jak odpowiadasz na te pytania? Czy mówisz prawdę, całą prawdę i tylko prawdę? Niestety twoja prawdomówność może powodować nieoczekiwany otwór w zbroi online. Spójrzmy dokładnie, jak ty powinien odpowiadać na te pytania.

Bariera ochronna

Wskazówki dotyczące hasła są niewątpliwie pomocne. Pomocna wskazówka zostanie wyświetlona, ​​jeśli zapomnisz hasła do systemu Windows. A to tylko po jednej nieudanej próbie. W przypadku hasła do systemu Windows wskazówka powinna odświeżyć pamięć. Przypomina o wybraniu podpowiedzi, dzięki czemu możesz być tak tajemniczy lub otwarty, jak się czujesz.

Pytania bezpieczeństwa są różne. Regularnie spotykamy się ze znanymi kombinacjami pytań, o których wspomniałem powyżej, i chętnie udzielamy dokładnych odpowiedzi. Pytania bezpieczeństwa są przedstawiane jako dodatkowa linia obrony. Należy jednak wziąć pod uwagę względną łatwość uzyskania niektórych odpowiedzi w dzisiejszym ultra połączonym społeczeństwie.

Badacze bezpieczeństwa regularnie wyśmiewają pytania bezpieczeństwa jako bezbarwne Jak stworzyć pytanie bezpieczeństwa, którego nikt inny nie może odgadnąć Jak stworzyć pytanie bezpieczeństwa, którego nikt inny nie może odgadnąć W ostatnich tygodniach dużo napisałem o tym, jak odzyskać konta internetowe. Typową opcją bezpieczeństwa jest ustawienie pytania bezpieczeństwa. Chociaż potencjalnie zapewnia to szybki i łatwy sposób na…. Czy możemy wierzyć w środek bezpieczeństwa, którego odpowiedzi można tak łatwo odkryć?

Robię to źle?

Atakujący żerują na łatwych pytaniach Jak rozpoznać i unikać 10 najbardziej podstępnych technik hakerskich Jak rozpoznać i unikać 10 najbardziej podstępnych technik hakerskich Hakerzy stają się podejrzliwi, a wiele ich technik i ataków często pozostaje niezauważonych przez nawet doświadczonych użytkowników. Oto 10 najbardziej podstępnych technik hakowania, których należy unikać. - kolory, nazwiska panieńskie, pierwsze zwierzaki - ponieważ można je łatwo uzyskać za pośrednictwem kont w mediach społecznościowych Jak chronić się przed 8 atakami inżynierii społecznej Jak chronić się przed 8 atakami inżynierii społecznej Jakie techniki socjotechniczne zastosowaliby hakerzy i w jaki sposób chronisz się przed nimi? Rzućmy okiem na niektóre z najczęstszych metod ataku. . Co gorsza, jeśli Twoje konto używa bardzo szczegółowych pytań i odpowiedzi, osoba atakująca może wyeliminować inne potencjalne hasła.

Na przykład, jeśli pytanie bezpieczeństwa brzmiało “Gdzie kupiłeś swój pierwszy samochód?” atakujący może natychmiast zignorować inne, łatwiejsze odpowiedzi.

Jestem pewien, że już wymyśliłeś oczywiste rozwiązanie tego problemu bezpieczeństwa. Jeśli atakujący szuka odpowiedzi bezpośrednio odnoszącej się do ciebie, dlaczego nie użyć czegoś zupełnie innego?

  • Jakie jest nazwisko panieńskie Twojej matki? fa1c0npunc4
  • Gdzie spotkałeś swojego małżonka?? b1cycl3tyr3
  • Jak nazywało się twoje pierwsze zwierzę domowe? n0str0d4mu5

Okej, to okropne przykłady, ale łapiesz mnie. Jeśli odpowiedź jest a) niejasna ib) używa losowych znaków, natychmiast ustawisz pasek bezpieczeństwa swoich kont nieco wyżej. Czy zrobiłeś te 5 pierwszych kroków, aby zabezpieczyć swoje konta online? Czy zrobiłeś 5 pierwszych kroków, aby zabezpieczyć swoje konta online? Zaskakujące jest to, jak wiele osób ignoruje te podstawy zabezpieczenia się w Internecie. Te pięć stron internetowych i narzędzi ułatwiają bezpieczeństwo w Internecie. .

I to zapewni mi bezpieczeństwo?

Bezpieczniej, przyjaciel, ale nie do końca bezpieczny.

Widzisz, w 2015 r. Google opublikował interesujący dokument, w którym bada wyciągnięte wnioski dotyczące pytań bezpieczeństwa. Wykorzystując swój prawie niezrównany zestaw danych do analizy tajnych pytań zadawanych przez ich monumentalną bazę użytkowników, starali się zrozumieć, jak skuteczna jest ta dodatkowa warstwa bezpieczeństwa.

Kredyt na zdjęcia: Blog Google

Nasza analiza potwierdza, że ​​tajne pytania zazwyczaj zapewniają poziom bezpieczeństwa znacznie niższy niż hasła wybrane przez użytkownika. Okazuje się, że jest nawet niższy niż wskazywałby na to proxy, taki jak rzeczywisty rozkład nazwisk w populacji.

Co zaskakujące, odkryliśmy, że istotną przyczyną tej niepewności jest to, że użytkownicy często nie odpowiadają zgodnie z prawdą. Ankieta przeprowadzona wśród użytkowników wykazała, że ​​znaczna część użytkowników (37%), którzy przyznali się do udzielania fałszywych odpowiedzi, zrobili to, próbując je uzyskać “trudniej zgadnąć” chociaż łącznie zachowanie to miało odwrotny skutek niż u ludzi “twardnieć” ich odpowiedzi w przewidywalny sposób.

Kredyt na zdjęcia: Badania w Google

Dlaczego próbujemy kłamać, a potem tak źle? Jak widać na powyższym wykresie, większość respondentów podaje fałszywe odpowiedzi z przekonaniem, że zwiększy to ich bezpieczeństwo. Następnie możemy założyć, że ogół społeczeństwa (choć niewielka migawka ogromnej bazy danych) rozumie, że pytania bezpieczeństwa mogą i będą użyte przeciwko nim.

Zespół badawczy Google ostatecznie stwierdził, że pytania bezpieczeństwa są albo dość bezpieczne, albo łatwe do zapamiętania, ale złota kombinacja jest rzadka. Stąd “podczas gdy Google preferuje odzyskiwanie wiadomości SMS i e-mail, żaden mechanizm nie jest doskonały.”

Doskonały przykład

Niestety Google odmówił podania prawdziwej wielkości bazy danych użytej do badania. Potwierdzili to jednak “rozpatrywane dane zawierają setki milionów punktów danych, a każde analizowane pytanie miało ponad milion odpowiedzi.” Istotne liczby, biorąc pod uwagę ich szacunkową bazę użytkowników.

W 2016 r. United Airlines wprowadziły nowy, zaktualizowany schemat bezpieczeństwa dla swoich kont klientów. Stary system, który opierał się na 4-cyfrowych kodach PIN, słusznie został uznany za nieodpowiedni dla kont potencjalnie zawierających setki tysięcy dolarów często przelotowych mil. Zaktualizowany system wymaga od użytkowników wprowadzenia unikalnego hasła, a także udzielenia odpowiedzi na pięć osobistych pytań zabezpieczających.

Brzmi dobrze, prawda? Z wyjątkiem United Airlines prosi swoich klientów o wybranie silnego, unikalnego hasła i udzielenie odpowiedzi na pytania przy użyciu ustalonego zestawu odpowiedzi. Zgadza się: z góry ustalone odpowiedzi. Na przykład, jeśli wybierzesz pytanie “W którym miesiącu są urodziny twoich najlepszych przyjaciół,” Twoi potencjalni napastnicy - zgadliście - mają zaledwie dwanaście odpowiedzi, aby przejść bitwę. Ciężkie czasy.

Wielka przyczyna tego “większość problemów bezpieczeństwa, z którymi borykają się nasi klienci, można znaleźć w wirusach komputerowych, które rejestrują pisanie na klawiaturze, a użycie predefiniowanych odpowiedzi chroni przed tego rodzaju włamaniami.”

Badacz bezpieczeństwa Brian Krebs rozmawiał bezpośrednio z dyrektorem United Airlines wywiadu bezpieczeństwa IT Benjaminem Vaughnem. Vaughn powiedział firmę “losowo zadawał pytania, aby pomylić programy botów, które starają się zautomatyzować przesyłanie odpowiedzi, i że pytania zabezpieczające, na które udzielono błędnych odpowiedzi, zostaną „zablokowane” i nie będą zadawane ponownie.”

„Pytania bezpieczeństwa są najmniej bezpiecznym sposobem zabezpieczenia czegokolwiek”. Rik Ferguson @TrendMicro # AISA2016

- Tracey Spicer (@TraceySpicer) 19 października 2016 r

Oprócz tego Vaughn potwierdził Krebsowi, że wiele nieudanych prób doprowadziłoby do zablokowania konta. W związku z tym użytkownik musi bezpośrednio komunikować się z United Airlines, aby odblokować swoje konto.

Konwencjonalna mądrość

United Airlines wykryło lukę w zabezpieczeniach, ale ich odpowiedź nie do końca rozwiązała problem. Jak widzieliśmy, jedynym naprawdę bezpiecznym sposobem odpowiedzi na pytanie bezpieczeństwa jest, podobnie jak hasło, dostarczenie czegoś naprawdę wyjątkowego i losowego. To w nadziei, że potencjalni hakerzy będą sfrustrowani złożonością i przejdą na następne konto.

Ustalenie, że ogół społeczeństwa odczuwa zmęczenie związane z bezpieczeństwem, jest ważne, ponieważ ma wpływ na miejsce pracy i życie codzienne ludzi. Ma to kluczowe znaczenie, ponieważ tak wiele osób korzysta z bankowości internetowej, a opieka zdrowotna i inne cenne informacje są przenoszone do Internetu.

Jeśli ludzie nie będą mogli korzystać z bezpieczeństwa, nie będą tego robić, a wtedy my i nasz naród nie będziemy bezpieczni.

- Psycholog poznawczy i Zmęczenie bezpieczeństwa współautor, Brian Stanton

Niestety zmęczenie związane z bezpieczeństwem jest bardzo realnym problemem. Użytkownicy są coraz bardziej zmęczeni. Naruszenia bezpieczeństwa i wymuszone resetowanie hasła są teraz tak powszechne, że wielu użytkowników po prostu ignoruje alerty. To zmęczenie prowadzi do ryzykownych zachowań użytkowników zarówno w domu, jak i w miejscu pracy. Sugerujemy:

  • Automatyzacja - Przejmij kontrolę nad bezpieczeństwem i zautomatyzuj skanowanie, kopie zapasowe Don't Pay Up - How To Beat Ransomware! Don't Pay Up - How Beat Ransomware! Wyobraź sobie, że ktoś pojawił się u twojego progu i powiedział: „Hej, w twoim domu są myszy, o których nie wiedziałeś. Daj nam 100 $, a my się ich pozbędziemy”. To jest Ransomware… i więcej.
  • Zarządzanie hasłami - Rozwiązania do zarządzania hasłami dostępne w LastPass Opanuj swoje hasła na dobre dzięki wyzwaniu bezpieczeństwa Lastpass Opanuj swoje hasła na dobre dzięki wyzwaniu bezpieczeństwa Lastpass Spędzamy tak dużo czasu w Internecie, mając tak wiele kont, że zapamiętywanie haseł może być naprawdę trudne. Martwisz się ryzykiem? Dowiedz się, jak korzystać z Wyzwania bezpieczeństwa LastPass w celu poprawy higieny bezpieczeństwa. lub KeyPass i oboje zajmą się również Twoimi pytaniami bezpieczeństwa.
  • Przejąć na własność - Twoje bezpieczeństwo danych jest Twoim obowiązkiem. Mamy wysokie oczekiwania wobec instytucji przechowujących nasze dane, i słusznie. To powiedziawszy, jeśli nie nałożysz silnych środków bezpieczeństwa w domu, będziesz współwinny.

Pisaliśmy obszernie o przezwyciężaniu zmęczenia bezpieczeństwa 3 sposoby pokonania zmęczenia bezpieczeństwa i zachowania bezpieczeństwa w Internecie 3 sposoby pokonania zmęczenia bezpieczeństwa i zachowania bezpieczeństwa w Internecie Zmęczenie bezpieczeństwa - znużenie radzeniem sobie z bezpieczeństwem online - jest prawdziwe i sprawia, że ​​wiele osób Mniej bezpieczne. Oto trzy rzeczy, które możesz zrobić, aby pokonać zmęczenie związane z bezpieczeństwem i zapewnić sobie bezpieczeństwo. . Przeczytaj i przejmij kontrolę nad swoimi pytaniami bezpieczeństwa!

Jak odpowiadasz na pytania zabezpieczające? Czy trafiłeś w najsłodsze miejsce? A może korzystasz z aplikacji do zarządzania hasłami? Daj nam znać swoje wskazówki dotyczące pytania bezpieczeństwa poniżej!




Jeszcze bez komentarzy

O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.