Почему вы отвечаете на вопросы безопасности пароля неправильно

Реклама

Когда мы регистрируемся в новом онлайн-сервисе, нас неизменно просят создать пароль. Это немедленно обеспечивает новую учетную запись. Если вы разумны, вы выбираете длинную, совершенно случайную строку или пусть приложение для управления паролями сделает всю работу Полное руководство по упрощению и обеспечению безопасности с помощью LastPass и XmarksОблако означает, что вы можете легко получить доступ к важной информации, где бы вы ни находились, это также означает, что у вас есть много паролей для отслеживания. Вот почему LastPass был создан. Прочитайте больше для вас. Далее в последовательности идут вопросы безопасности.

Эти вопросы обычно задают девичью фамилию вашей матери, название вашей начальной школы, имя вашего первого питомца и так далее. Вопросы безопасности, разработанные для защиты наших учетных записей от потенциальных хакеров, должны служить дополнительной линией защиты.

Как вы отвечаете на эти вопросы? Вы говорите правду, всю правду, и только правду? К сожалению, ваша правдивость может создать неожиданную щель в вашей онлайн-броне. Давайте посмотрим, как именно вы

должен отвечать на эти вопросы.

Защитный барьер

Подсказки к паролю, несомненно, полезны. Полезный совет будет отображаться, если вы забудете пароль Windows. И это после единственной неудачной попытки. В случае пароля Windows ваша подсказка должна освежить вашу память. Он напоминает вам, что вы выбрали подсказку, так что вы можете быть настолько загадочным или открытым, как вам хочется.

Вопросы безопасности разные. Мы регулярно сталкиваемся со знакомыми комбинациями вопросов, о которых я упоминал выше, и охотно предоставляем точные ответы. Вопросы безопасности представлены в качестве дополнительной линии защиты. Тем не менее, вы должны учитывать относительную легкость получения некоторых ответов в современном ультрасвязанном обществе.

Исследователи безопасности регулярно высмеивать вопросы безопасности как неаккуратные Как создать секретный вопрос, который никто не сможет угадатьВ последние недели я много писал о том, как сделать онлайн-счета восстанавливаемыми. Типичная опция безопасности - настройка секретного вопроса. Хотя это потенциально обеспечивает быстрый и простой способ ... Прочитайте больше . Можем ли мы верить в меру безопасности, ответы которой могут быть легко обнаружены?

Я делаю это неправильно?

Злоумышленники охотятся на простые вопросы Как обнаружить и избежать 10 самых коварных методов взломаХакеры становятся хитрее, и многие из их методов и атак часто остаются незамеченными даже опытными пользователями. Вот 10 самых коварных методов взлома, которых следует избегать. Прочитайте больше - цвета, девичьи фамилии, первые домашние животные - потому что они легко доступны через аккаунты в социальных сетях Как защитить себя от этих 8 атак социальной инженерииКакие методы социальной инженерии использовал бы хакер и как бы вы защитились от них? Давайте посмотрим на некоторые из наиболее распространенных методов атаки. Прочитайте больше . Что еще хуже, если ваша учетная запись использует чрезвычайно конкретные вопросы и ответы, злоумышленник может удалить другие потенциальные пароли.

Например, если контрольный вопрос был «Где вы купили свой первый автомобиль?» злоумышленник может немедленно игнорировать другие, более простые ответы.

Я уверен, что вы уже нашли очевидное решение этой проблемы безопасности. Если злоумышленник ищет ответ, который имеет непосредственное отношение к вам, почему бы не использовать что-то совершенно другое?

• Какая девичья фамилия вашей матери? fa1c0npunc4
• Где вы познакомились с вашим супругом? b1cycl3tyr3
• Как звали твоего первого питомца? n0str0d4mu5

Ладно, это ужасные примеры, но ты уловил мой дрейф. Если ответ а) неясен и б) использует случайные символы, вы немедленно установить уровень безопасности ваших учетных записей, который немного выше Вы предприняли эти 5 первых шагов для обеспечения безопасности ваших учетных записей в Интернете?Удивительно, сколько людей игнорируют эти основы обеспечения себя онлайн. Эти пять веб-сайтов и инструменты облегчают работу в Интернете. Прочитайте больше .

И что сделает меня в безопасности?

безопаснеедруг, но не совсем безопасно.

Видите ли, в 2015 году Google опубликовал интересный документ, в котором рассматриваются уроки, которые они извлекли по вопросам безопасности. Используя свой практически непревзойденный набор данных для анализа секретных вопросов, заданных их огромной пользовательской базой, они пытались понять, насколько эффективен этот дополнительный уровень безопасности.

Наш анализ подтверждает, что секретные вопросы обычно предлагают уровень безопасности, который намного ниже, чем выбранные пользователем пароли. Оказывается, он даже ниже, чем показывали бы прокси-серверы, такие как реальное распределение фамилий среди населения.

Удивительно, но мы обнаружили, что существенной причиной этой небезопасности является то, что пользователи часто не отвечают правдиво. Проведенное нами обследование пользователей показало, что значительная часть пользователей (37%), признавшихся в предоставлении ложных ответов, сделали это в попытке сделать их «труднее угадать», хотя в целом это поведение имело противоположный эффект, так как люди «ожесточали» свои ответы предсказуемым образом.

Почему мы пытаемся лгать, а потом так плохо? Как видно из приведенной выше таблицы, большинство респондентов дают ложные ответы, полагая, что это повысит их безопасность. Затем мы можем предположить, что широкая публика (пусть и крошечный снимок огромной базы данных) действительно понимает, что вопросы безопасности могут и будут использоваться против них.

Исследовательская группа Google в конечном итоге приходит к выводу, что вопросы безопасности либо несколько безопасны, либо их легко запомнить, но золотую комбинацию найти редко. Следовательно, «хотя Google предпочитает восстановление SMS и электронной почты, ни один механизм не является идеальным».

Главный пример

К сожалению, Google отказался предложить истинный размер базы данных, использованной для исследования. Однако они подтвердили, что «рассматриваемые данные содержат сотни миллионов точек данных, и каждый На проанализированный вопрос было получено более миллиона ответов ». Значительные цифры, учитывая их оценки пользователь база.

В 2016 году United Airlines представили новую обновленную схему безопасности для своих учетных записей клиентов. Старая система, в которой использовались 4-значные ПИН-коды, по праву считалась неподходящей для учетных записей, потенциально содержащих сотни тысяч долларов за часто летающие мили. Обновленная система требует, чтобы пользователи вводили уникальный пароль, а также отвечали на пять личных вопросов безопасности.

Звучит хорошо, правда? За исключением United Airlines, попросите своих клиентов выбрать надежный уникальный пароль и ответить на их вопросы, используя заранее определенный набор ответов. Это верно: предопределенные ответы. Например, если вы выберете вопрос «В каком месяце у ваших лучших друзей день рождения», ваши потенциальные злоумышленники - как вы уже догадались - всего лишь двенадцать ответов на битву. Трудные времена.

Объясняется, что «большинство проблем безопасности, с которыми сталкиваются наши клиенты, могут быть связаны с компьютерными вирусами, которые регистрируют типизацию, а использование предопределенных ответов защищает от такого типа вторжения».

Исследователь безопасности Брайан Кребс говорил прямо директору разведки по информационной безопасности United Airlines Бенджамину Вону. Вон сказал, что компания «рандомизировала вопросы, чтобы запутать программы ботов, которые стремятся автоматизировать представление ответов и неправильные ответы на секретные вопросы будут «заблокированы» и не будут заданы очередной раз."

«Вопросы безопасности - наименее безопасный способ что-либо защитить». Рик Фергюсон @TrendMicro# AISA2016

- Трейси Спайсер (@TraceySpicer) 19 октября 2016 г.

Кроме того, Вон подтвердил Кребсу, что несколько неудачных попыток приведут к заблокированной учетной записи. Следовательно, пользователь должен напрямую связаться с United Airlines, чтобы разблокировать свою учетную запись.

Принято считать

United Airlines выявили уязвимость системы безопасности, но их ответ не полностью решил проблему. Как мы уже видели, единственный действительно безопасный способ ответить на секретный вопрос, подобно паролю, предоставить что-то действительно уникальное и случайное. Это в надежде, что потенциальные хакеры будут разочарованы сложностью и перейдут на следующий аккаунт.

Вывод о том, что широкая общественность страдает от усталости в плане безопасности, важен, поскольку он имеет последствия на рабочем месте и в повседневной жизни людей. Это очень важно, потому что очень многие люди совершают банковские операции в Интернете, а здравоохранение и другая ценная информация перемещаются в Интернет.

Если люди не могут использовать безопасность, они не собираются, и тогда мы и наша нация не будем в безопасности.

- когнитивный психолог и Усталость безопасности соавтор, Брайан Стэнтон

Увы, усталость от безопасности - очень реальная проблема. Пользователи все больше устают. Нарушения безопасности и принудительный сброс пароля в настоящее время настолько распространены, что многие пользователи просто игнорируют предупреждения. Эта усталость приводит к рискованному поведению пользователя как дома, так и на рабочем месте. Мы предлагаем:

• Автоматизировать — Возьмите под контроль свою безопасность и автоматизируйте сканирование, резервное копирование Не плати - как победить вымогателей!Только представьте, если кто-то появился у вашего порога и сказал: «Эй, в вашем доме есть мыши, о которых вы не знали. Дайте нам 100 долларов, и мы от них избавимся. "Это вымогатель ... Прочитайте больше и больше.
• Управление паролями — Решения для управления паролями, доступные в LastPass Совершенствуйте свои пароли навсегда с помощью проблемы безопасности LastpassМы проводим так много времени в сети, с таким количеством учетных записей, что запоминание паролей может быть очень сложным. Обеспокоены рисками? Узнайте, как использовать LastPass Security Challenge для улучшения вашей безопасности. Прочитайте больше или KeyPass, и они оба позаботятся о ваших вопросах безопасности.
• Стать владельцем - Ваша безопасность данных - ваша ответственность. Мы возлагаем большие надежды на учреждения, хранящие наши данные, и это правильно. Тем не менее, если вы не будете применять строгие меры безопасности дома, вы будете разделять часть вины.

У нас много написано о преодолении усталости безопасности 3 способа преодолеть усталость безопасности и оставаться в безопасности онлайнУсталость от безопасности - усталость иметь дело с онлайн-безопасностью - реальна и делает многих людей менее защищенными. Вот три вещи, которые вы можете сделать, чтобы преодолеть усталость безопасности и сохранить себя в безопасности. Прочитайте больше . Прочитайте его и верните контроль над своими секретными вопросами!

Как вы отвечаете на ваши секретные вопросы? Вы попали в сладкое место? Или вы используете приложение для управления паролями? Дайте нам знать ваши советы по секретному вопросу ниже!