Jak miało na imię Twoje pierwsze zwierzę? Jaka jest Twoja ulubiona potrawa? Jak brzmiało panieńskie nazwisko Twojej matki? Co wspólnego mają ze sobą te pozornie przypadkowe pytania? Wszystkie są przykładami często używanych pytań zabezpieczających, na które na pewno zdarzyło Wam się już odpowiadać.

Wiele internetowych serwisów korzysta z pytań zabezpieczających, gdy użytkownik zapomni hasła dostępu do swojego konta. Używa się ich również jako dodatkowego zabezpieczenia przeciwko podejrzanym logowaniom. Niestety, ich efektywność i rzeczywista ochrona nie zostały dotąd wystarczająco sprawdzone. Z tego powodu Google przeanalizowało miliony poufnych pytań i odpowiedzi wykorzystywanych w procesie odzyskiwania dostępu do konta. Następnie specjaliści sprawdzili prawdopodobieństwo odgadnięcia tych odpowiedzi przez hakerów.

Wszystkie spostrzeżenia doprowadziły Google do wniosku, że poufne pytania nie są wystarczająco niezawodne, aby mogły być używane jako samodzielny mechanizm odzyskiwania haseł do internetowych kont. Są one obarczone podstawową wadą: odpowiedzi na nie są albo bezpieczne, albo proste do zapamiętania, jednak rzadko spełniają oba warunki jednocześnie.

Proste odpowiedzi nie są bezpieczne

Nie jest zaskoczeniem, że łatwe do zapamiętania odpowiedzi są mniej bezpieczne. Zazwyczaj zawierają powszechnie znane albo dostępne dla każdego informacje lub też są jedną z niewielu możliwych odpowiedzi w danym kontekście kulturowym (np. popularne nazwiska w danym kraju).

Poniżej kilka konkretnych przykładów z badań Google:

  • Haker dokonujący jednej próby ataku na konta anglojęzycznych użytkowników miałby 19,7 proc. szans na odgadnięcie odpowiedzi na pytanie „Jaka jest twoja ulubiona potrawa?” (hasłem tym jest „pizza”).
  • Haker dokonujący 10 prób ataku na konta arabskojęzycznych użytkowników miałby niemal 24 proc. szans na odgadnięcie odpowiedzi na pytanie „Jak nazywał się Twój pierwszy nauczyciel?”
  • Haker dokonujący 10 prób ataku na konta hiszpańskojęzycznych użytkowników miałby 21 proc. szans na odgadnięcie odpowiedzi na pytanie „Jakie jest drugie imię twojego ojca?”
  • Haker dokonujący 10 prób ataku na konta koreańskojęzycznych użytkowników miałby 39 proc. szans na odgadnięcie odpowiedzi na pytanie „W jakim mieście się urodziłeś?” oraz 43 proc. szans na odgadnięcie ulubionego dania

Okazuje się również, że wielu użytkowników ma identyczne odpowiedzi na poufne pytania uznawane powszechnie za bezpieczne np. „Jaki jest twój numer telefonu?” albo „Jaki numer ma twoja karta stałego pasażera?”. Odkryto również, że 37 proc. osób celowo wprowadza błędne odpowiedzi na pytania, uznając że w ten sposób będą one trudniejsze do odgadnięcia. Jednak taka strategia zawodzi, ponieważ najczęściej wpisywane są te same błędne odpowiedzi. Wówczas prawdopodobieństwo dokonania ataku zwiększa się.

Trudne odpowiedzi nie są użyteczne

To oczywiste, że możecie nie pamiętać, gdzie Wasza mama chodziła do szkoły podstawowej albo jaki jest numer Waszej karty bibliotecznej. Poufne pytania, które są skomplikowane, są jednocześnie trudne w użyciu. Tutaj kilka przykładów z badań:

  1. 40 proc. anglojęzycznych użytkowników z USA nie potrafiło przypomnieć sobie odpowiedzi na pytanie zabezpieczające. W międzyczasie Ci sami użytkownicy potrafili sobie przypomnieć kody weryfikacyjne do zmiany hasła przesyłane do nich przez SMS (w 80 proc. przypadków) i przez e-mail (75 proc. przypadków)
  2. Niektóre z pytań uznawane za potencjalnie bezpieczne, np. „Jaki jest numer twojej karty bibliotecznej?” i „Jaki numer ma twoja karta stałego pasażera?”, miały dość niski współczynnik przywołania, odpowiednio 22 proc. oraz 9 proc.
  3. Wśród anglojęzycznych użytkowników z USA proste pytanie „Jakie jest drugie imię twojego ojca?” miało współczynnik przywołania 76 proc., podczas gdy na potencjalnie bezpieczniejsze pytanie „Jaki był twój pierwszy numer telefonu?”, prawidłowo odpowiedziało zaledwie 55 proc. użytkowników.

Większa liczba pytań zabezpieczających

Oczywiście trudniej podać właściwą odpowiedź na kilka pytań niż tylko na jedno. Niemniej dodawanie kolejnych nie zawsze jest rozwiązaniem: szanse na odzyskanie w ten sposób dostępu do konta znacznie spadają. Według informacji Google, „najprostsze” pytanie i odpowiedź to: „W jakim mieście się urodziłeś?” – użytkownicy podają je bezbłędnie w 79 proc. przypadków. Kolejnym przykładem jest „Jakie jest drugie imię twojego ojca?”, podawane bezbłędnie przez 74 proc. użytkowników. Gdyby haker miał 10 prób przechwycenia odpowiedzi na te pytania, jego szanse na odgadnięcie ich wynosiłyby odpowiednio: 6,9 proc. i 14,6 proc.

Jednak sytuacja komplikuje się, kiedy użytkownicy muszą odpowiedzieć na oba powyższe pytania jednocześnie. Wówczas rozbieżność między bezpieczeństwem a użytecznością pytań zabezpieczających jest jeszcze większa. Wprawdzie prawdopodobieństwo, że haker odgadnie obie odpowiedzi w 10 próbach jest równe tylko 1 proc., ale za to niepokojąco niski jest odsetek samych użytkowników, którzy pamiętają odpowiedzi na oba pytania – to zaledwie 59 proc. W rezultacie, większa ich liczba utrudnia użytkownikom odzyskiwanie dostępu do swoich kont, więc nie jest korzystnym rozwiązaniem.

 Co należy zrobić?

Przez długi czas pytania zabezpieczające były traktowane jako element uwierzytelniania oraz ułatwienie przy odzyskiwaniu dostępu do internetowych kont. Powyższe wnioski powinny jednak dać do myślenia właścicielom serwisów internetowych oraz samym użytkownikom. Jednocześnie właścicielom portali Google rekomenduje, by korzystali z innych dostępnych metod uwierzytelniania, np. kopii zapasowej kodów wysyłanych SMS-em lub dodatkowych adresów mailowych. Obie te metody są bezpieczniejsze i wygodniejsze dla użytkownika.

Temat zabezpieczeń przed działaniem hakerów zostanie poruszony podczas konferencji Connected Security, która odbędzie się 27 sierpnia w Warszawie. Jej organizatorem jest Connected Life Magazine.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here