211service.com
Worden uw 'geheime vragen' te gemakkelijk beantwoord?
Brian Greens ervaring met niet-zo-geheime vragen begon toen hij in maart van dit jaar inlogde op zijn World of Warcraft-account en al zijn personages in hun ondergoed aantrof. Iemand had de rekening gestolen en al zijn virtuele apparatuur verkocht.
Mijn eerste gedachte was dat ik misschien een keylogger op mijn computer zou hebben, schreef Green in een beschrijving van de gebeurtenis. Maar zijn eigen onderzoek naar het incident - en het vermogen van de aanvaller om zijn accountwachtwoorden meerdere keren te wijzigen - bracht Green, die zelf een game-ontwerper is, tot een andere conclusie: mijn 'geheime vraag' heeft een al te algemeen antwoord ... Dit was niet iets waar ik aan dacht toen ik het lang geleden invulde.
Het incident vertoont overeenkomsten met de spraakmakende zaak waarbij de gouverneur van Alaska en voormalig vice-presidentskandidaat Sarah Palin betrokken waren. In september 2008 gebruikten hackers de naam van de locatie waar Palin en haar man elkaar ontmoetten om toegang te krijgen tot haar Yahoo-e-mailaccount via het wachtwoordherstelmechanisme voor geheime vragen.
Palin en Green zijn niet de enigen. In onderzoek dat wordt gepresenteerd op de IEEE-symposium over beveiliging en privacy deze week zijn onderzoekers van Microsoft en Carnegie Mellon University van plan om aan te tonen dat de geheime vragen die worden gebruikt om de wachtwoord-resetfuncties van verschillende websites te beveiligen, hopeloos onveilig zijn. In een onderzoek waarbij 130 mensen betrokken waren, ontdekten de onderzoekers dat 28 procent van de mensen die de deelnemers aan het onderzoek kenden en werden vertrouwd, de juiste antwoorden op de geheime vragen van de deelnemer konden raden. Zelfs mensen die de deelnemer niet vertrouwde, hadden nog steeds een kans van 17 procent om het juiste antwoord op een geheime vraag te raden.
Geheime vragen alleen zijn niet zo veilig als we zouden willen dat onze back-upauthenticatie is, zegt Stuart Schechter, een onderzoeker bij softwaregigant Microsoft en een van de auteurs van het artikel. Ze zijn ook niet betrouwbaar genoeg dat het gebruik ervan alleen voldoende is om ervoor te zorgen dat gebruikers hun accounts kunnen herstellen wanneer ze hun wachtwoord vergeten.
De minst veilige vragen zijn eenvoudige vragen waarvan de antwoorden kunnen worden geraden zonder bestaande kennis van het onderwerp, zeggen de onderzoekers. Bijvoorbeeld de antwoorden op de vragen Wat is je favoriete stad? en Wat is je favoriete sportteam? waren voor de deelnemers relatief gemakkelijk te raden. Alles bij elkaar kwam respectievelijk 30 procent en 57 procent van de juiste antwoorden in de top vijf van gissingen voor.
Maar antwoorden die slechts een beetje persoonlijke kennis vereisen om te raden, moeten ook als onveilig worden beschouwd, waarschuwen de onderzoekers. Van de mensen die deelnemers hun wachtwoord niet zouden vertrouwen, kon 45 procent nog steeds een vraag beantwoorden over waar ze zijn geboren, en 40 procent kon de naam van hun huisdier correct geven, vonden de onderzoekers.
Back-up-authenticatieschema's moeten twee belangrijke kenmerken hebben, zegt Schechter. Ze moeten betrouwbaar zijn, zodat een legitieme gebruiker weer toegang kan krijgen tot zijn of haar account, en ze moeten veilig zijn om te voorkomen dat onbevoegde gebruikers toegang krijgen.
Uit de studie bleek dat geheime vragen voor beide accounts tekortschieten. Zelfs voor de meest memorabele vragen - Yahoo's, zo bleek - vergaten de deelnemers binnen drie tot zes maanden 16 procent van de antwoorden. Over het algemeen vergat een op de vijf mensen alle antwoorden op hun geheime vragen, ontdekten de onderzoekers.
Mensen hebben de neiging om de kans te onderschatten dat ze een slimme techniek of een vlot antwoord vergeten, zegt Schechter.
Het grootste deel van een decennium heeft beveiligingsexpert Bruce Schneier kritiek geuit op geheime vragen vanwege hun kwetsbaarheid voor aanvallen. In 2005, schreef Schneier, denk ik graag dat als ik mijn wachtwoord vergeet, het heel moeilijk zou moeten zijn om toegang te krijgen tot mijn account. Ik wil dat het zo moeilijk is dat een aanvaller het onmogelijk kan doen.
Toch hebben bedrijven die zich richten op het verlagen van de klantenservicekosten een achterdeur in de accounts van mensen geïntroduceerd die gemakkelijker te omzeilen is dan proberen het wachtwoord te raden, zegt hij. Het rare dat wordt gedaan, is dat er een back-upsysteem is om je wachtwoord opnieuw in te stellen dat minder veilig is dan het systeem dat het moet ondersteunen, zegt Schneier.
Schechter is het ermee eens dat onderzoekers een heel ander mechanisme voor back-upauthenticatie zullen moeten vinden - geheime vragen zijn gewoon niet genoeg. We zouden deze vragen uiteindelijk graag zien verdwijnen, zegt hij. Helaas, aangezien we niet veel vragen hebben gevonden die overtuigend goed waren, is het moeilijk om aan te bevelen om eenvoudig de vragen te veranderen.
Schechter raadt aan geen vragen te kiezen die gemeenschappelijke antwoorden kunnen hebben. Schneier gaat verder en zegt dat hij vaak gewoon een willekeurig antwoord typt; als hij een wachtwoord moet opvragen, zegt hij, zal hij het bedrijf bellen.
Green, wiens geheime vraag de naam van zijn middelbare school vroeg, is van plan om in de toekomst veiliger e-mail te gebruiken. En dat kan betekenen dat u moet afzien van het ophalen van wachtwoorden. Het is handig om mijn wachtwoord op de site opnieuw in te stellen als ik mijn wachtwoord vergeet, maar het is klote als iemand anders erachter komt hoe hij het moet doen zonder mijn toestemming, zegt hij.