Вопросы-подсказки отлично помогают ломать пароли

12/03/2010 10:58

«Секретные» вопросы, на которые пользователи отвечают, когда хотят восстановить пароль от почты, не защищают от злоумышленников – их очень легко подобрать, говорится в результатах исследования кембриджского ученого Джозефа Бонно (Joseph Bonneau). Эксперимент исследователей показал, что путем подбора ответов на вспомогательные вопросы можно взломать каждый 80-ый аккаунт. Исследователи из Кембриджа (Бонно и двое его коллег) проанализировали 270 миллионов экаунтов в Facebook. Выяснилось, что если кто-то хочет взломать почтовый аккаунт другого человека путем подбора ответов на вопрос, ему вполне может хватить нескольких часов для поиска соответствующей информации. И это при условии, что, как правило, почтовая система безопасности предоставляет три попытки ответить на вопрос – а затем временно блокирует аккаунт. Информация, которую пользователи сообщают в качестве ответов на вспомогательные вопросы во время регистрации аккаунтов, может быть публичной и широко известной – включая девичью фамилию матери или её второе имя (такие данные при «счастливом» для злоумышленника раскладе можно легко найти в Google). Кроме того, пользователи часто не задумываются о том, что подобрать ответ на их вопрос можно просто наугад. Например, многим кажется хорошим и очень личным вопросом «фамилия первой учительницы», и злоумышленник действительно может не знать ответа (если только почту не собралась взламывать сама учительница или старый школьный товарищ). Вот только если фамилия первой учительницы – миссис Смит, то её можно подобрать, даже не зная правильного ответа, так как в мире живет далеко не одна преподавательница младших классов, которую так зовут. По словам Бонно, исследователи даже не предполагали, что результаты будут такими грустными. Если учесть, что систему вопросов используют даже банки и другие серьезные учреждения, а к почтовым адресам, как правило, привязаны самые разные сервисы, можно представить себе масштабы бедствия. Стоит отметить, что зачастую вспомогательные вопросы даже не нужны – многие пользователи охотно дарят доступ к своим почтовым ящикам и аккаунтам в социальных сетях, используя пароли вроде «123456». Ситуацию можно улучшить, считают исследователи, если отказаться от примитивной и, по большому счету, никого не защищающей системы вспомогательных вопросов, используя другие средства. Либо усложнить процесс, заставив пользователя отвечать сразу на несколько вопросов. Джозеф Бонно специализируется на вопросах конфиденциальности и защиты в социальных сетях. Год в ходе эксперимента ему удалось выяснить, что социальные сервисы продолжают хранить изображения, удаленные пользователями.
Источник