Studie: Hemmelige spørsmål Beskytt ikke passord

Selv om ektefellen ikke vet ditt e-postpassord, vet han eller hun nok informasjon for å få det.

Gratis e-postleverandører presenterer ofte et såkalt "hemmelig spørsmål" som en verifikasjonsmekanisme for å tilbakestille et passord for kontoen. Men svaret er ofte lett å gjette av andre som kjenner kontoinnehaveren, ifølge en ny studie som skal utgis i IEEE Symposium om sikkerhet og personvern denne uken i Oakland, California.

I andre tilfeller kan fremmede med hell levere svarene på noen spørsmål, som er hvordan republikansk visepresidentkandidat Sarah Palin mistet kontrollen over hennes Yahoo-konto. Universitetsstudenten som ble anklaget for å kommandere kontoen, David Kernell, sa at det tok mindre enn en times forskning på nettet for å komme med de riktige svarene på sikkerhetsspørsmålene til Palins konto.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows PC]

Studien så på spørsmålene som ble brukt av Yahoo, Google, Microsoft og AOL i mars 2008. I en test parret forskerne to personer sammen, med e-postkontoinnehaveren som sa at de ikke ville stole på den andre person med passordet sitt. Når den presenteres med kontoinnehaverens hemmelige spørsmål, gjengjente den andre 17 prosent av tiden.

Blant to personer som stoler på hverandre, kunne en partner levere det riktige svaret på en Hotmail-konto 28 prosent av tiden, sier studien.

Selv med spørsmål skrevet av en bruker - systemet som Google nå sysselsetter - kan en komplett fremmed gjette svaret 15 prosent av tiden innen fem forsøk.

En del av problemet er at Spørsmålene er så kjedelige at en bit av Internett-søking kan gi opp lister over favoritt-TV-programmer, brus, øl, skuespillere, etc. som bidrar til å gjøre målrettet gjetting mulig. Også geografiske data hjelper med spørsmål som "Hva er ditt favorittsporterteam", sa studien.

"Våre resultater gir oss ikke tillit til at dagens personlige spørsmål gir tilstrekkelig autentiseringshemmelighet," forfatterne skrev. "De som er vanskelige å gjette, er mindre sannsynlig å bli valgt av brukerne i utgangspunktet, og når de er valgt, er de mindre sannsynlig å bli husket."

Selv om Yahoo på en gang presenterte det mest minneverdige spørsmålet på den tiden, glemte studiens deltakere sine egne svar innen seks måneder. Forfatterne skrev at Yahoo erstattet alle ni av sine personlige autentiseringsspørsmål i februar.

Det er ikke en enkel løsning på problemet. Mange andre nettsteder er avhengige av å sende en e-post til en persons konto for å bekrefte en person, men siden e-postkontoen selv må verifiseres, er det et problem.

En mulig løsning for å avværge statistiske gjetningsangrep ville være å straffe feil svar, avhengig av deres popularitet. Størrelsen på straffen, som forfatterne skriver, vil avhenge av sjansen for at den legitime brukeren svarer på flere populære svar før han får den rette.

Data i studien antyder at hvis en person feilaktig gjetter to populære svar på et spørsmål, de får sjelden et tredje spørsmål riktig.

Forfatterne anbefaler også å eliminere spørsmål som statistisk gjengis mer enn 10 prosent av tiden, for eksempel "Hva er din favorittby?" De definerte et svar som statistisk gjetning om det er blant de fem mest populære svarene som andre deltakerne har gitt i studien.

En annen godkjenningsmekanisme kan være en SMS (Short Message Service) sendt av e-postleverandøren til en persons mobiltelefon. Men det stiller også sikkerhetsspørsmål, siden telefoner blir stjålet og tapt, og SMS-overføring har sikkerhetsproblemer, skrev de.

Studien ble skrevet av Stuart Schechter og A.J. Berheim børste av Microsoft Research og Serge Egelman fra Carnegie Mellon University.