Зашто одговарате на питања о безбедности лозинке погрешно

Реклама

Када се пријавимо на нову интернетску услугу, од нас се увек тражи да креирамо лозинку. Ово одмах обезбеђује нови налог. Ако сте разумни, изаберите дуг, потпуно случајни низ или нека апликација за управљање лозинком уради посао Комплетан водич за поједностављење и осигурање вашег живота помоћу ЛастПасс и Ксмарк-аИако облак значи да лако можете приступити својим важним информацијама где год да се налазите, то такође значи да имате пуно лозинки које ћете пратити. Зато је креиран ЛастПасс. Опширније за тебе. Следеће у низу следе безбедносна питања.

Овим се питањима обично постављају девојачко презиме ваше мајке, име ваше основне школе, име вашег првог љубимца и тако даље. Дизајнирани да заштите наше рачуне од потенцијалних хакера, безбедносна питања требало би да делују као додатна линија одбране.

Како одговарате на та питања? Да ли кажете истину, целу истину и ништа осим истине? Нажалост, ваша истинитост може створити неочекивану мрљу у вашем оклопу на мрежи. Погледајмо тачно како ви требало би одговарати на та питања.

Заштитна баријера

Савјети за лозинку су несумњиво корисни. Ако заборавите лозинку за Виндовс, појавиће се користан наговештај. И то након само једног неуспешног покушаја. У случају лозинке за Виндовс, ваш савет би требало да освежи меморију. Подсећа вас да користите наговештај који сте изабрали, тако да можете бити будни или отворени колико осећате.

Безбедносна питања су различита. Редовно се суочавамо са познатим комбинацијама питања које сам горе споменуо и вољно пружамо тачне одговоре. Сигурносна питања представљена су као додатна линија одбране. Међутим, требало би размотрити релативну лакоћу добијања неких одговора у данашњем ултра повезаном друштву.

Истраживачи безбедности редовно исмевати безбедносна питања као безобразна Како створити безбедносно питање које нико други не може погодитиПротеклих недеља пуно сам писао о томе како да учиним повраћај рачуна на мрежи. Типична сигурносна опција је постављање сигурносног питања. Иако ово потенцијално омогућава брз и једноставан начин да ... Опширније . Можемо ли вјеровати у сигурносну мјеру чији се одговори могу тако лако открити?

Радим погрешно?

Нападачи плену на лака питања Како уочити и избећи 10 најглупљих техника хаковањаХакери постају прикривенији, па чак и многи искусни корисници често остају незапажени од њихове технике и напада. Ево 10 најглупљих техника хаковања које треба избећи. Опширније - боје, дјевојачка имена, први љубимци - јер су они лако доступно преко налога на друштвеним медијима Како се заштитити од ових 8 напада социјалног инжењерингаКоје би технике социјалног инжењеринга хакер користио и како бисте се заштитили од њих? Погледајмо неке од најчешћих метода напада. Опширније . Да ствар буде још гора, ако ваш налог користи изузетно специфична питања и одговоре, нападач може да елиминише друге потенцијалне лозинке.

На пример, ако је безбедносно питање било „Где сте купили свој први аутомобил?“ нападач може одмах занемарити друге, лакше одговоре.

Сигуран сам да сте већ искористили очигледно решење овог безбедносног проблема. Ако нападач тражи одговор који се директно односи на вас, зашто не бисте користили нешто потпуно друго?

• Девојачко презиме Ваше мајке? фа1ц0нпунц4
• Где сте упознали свог брачног друга? б1цицл3тир3
• Које је име твог првог љубимца? н0стр0д4му5

У реду, они су грозни примери, али ухватите ме. Ако је одговор а) нејасан и б) користи насумичне знакове, одмах ћете подесите сигурносну траку својих рачуна мало вишу Да ли сте предузели ових 5 првих корака за осигурање налога на мрежи?Изненађујуће је колико људи игнорише ове основе осигурања на мрежи. Ових пет веб локација и алата чине безбедност на мрежи лакшом ситницом. Опширније .

И то ће ме учинити сигурном?

Сигурнијипријатељу, али није сасвим безбедно.

Видите, 2015. године Гоогле је објављен занимљив документ који истражује лекције које су научили у вези са безбедносним питањима. Користећи свој готово неуспоредиви скуп података за анализу тајних питања која им је поставила њихова монументална база корисника, покушали су да схвате колико је ефикасан овај додатни безбедносни слој.

Наша анализа потврђује да тајна питања углавном нуде ниво сигурности који је далеко нижи од лозинки које је одабрао корисник. Испада да је чак нижи него што су заступници, попут стварне расподјеле презимена, показали у популацији.

Изненађујуће, открили смо да је значајан узрок ове несигурности тај што корисници често не одговарају истинито. Анкета корисника коју смо спровели открила је да је значајан део корисника (37%) који је признао давање лажних одговора то учинио у покушају да чине их „тежим за нагађање“, мада су у целини овакво понашање имали супротан ефекат, јер људи „отврдну“ своје одговоре на предвидљив начин.

Зашто покушавамо да лажемо, али онда то радимо тако лоше? Као што видите на горњем графикону, већина испитаника даје лажне одговоре с увјерењем да ће то повећати њихову сигурност. Тада можемо претпоставити да шира јавност (иако малени снимак огромне базе података) разуме да безбедносна питања могу и хоће да се користе против њих.

Гоогле-ов истраживачки тим у коначници закључује да су питања безбедности или некако сигурна или се лако памте, али златну комбинацију је ретко пронаћи. Отуда „док Гоогле преферира опоравак СМС-а и е-поште, ниједан механизам није савршен“.

Примарни пример

Нажалост, Гоогле је одбио да понуди праву величину базе података која се користи за студију. Међутим, потврдили су да „разматрани подаци садрже стотине милиона података и сваки анализирано питање има преко милион одговора. " Значајне бројке узимајући у обзир њихове процене корисничка база.

Током 2016. године, Унитед Аирлинес је увео нову, ажурирану шему заштите за своје корисничке рачуне. Стари систем који се ослањао на четвороцифрене ПИН-ове с правом се сматрао неприкладним за рачуне који потенцијално садрже стотине хиљада долара честих пређених километара. Ажурирани систем захтева од корисника да уносе јединствену лозинку, као и да одговоре на пет личних сигурносних питања.

Звучи добро, зар не? Осим што Унитед Аирлинес тражи од својих купаца да одаберу снажну, јединствену лозинку и одговоре на њихова питања користећи унапред постављени скуп одговора. То је тачно: унапријед припремљени одговори. На пример, ако одаберете питање „У ком месецу је рођендан ваших најбољих пријатеља“, ваши потенцијални нападачи ће имати - претпостављате - тек дванаест одговора на то. Тешка времена.

Јединствени разлог „да се највећи део безбедносних проблема са којима се сусрећу наши купци може пратити до рачунарских вируса који снимају куцање, а коришћење унапред дефинисаних одговора штити од ове врсте провале“.

Бриан Кребс, истраживач безбедности говорио директно директору Аир Аирлинеса директору информатичке безбједности Бењамин Ваугхн. Ваугхн је рекао да је компанија „случајно постављала питања да збуни бот програме који желе аутоматизовати подношење одговора и да су безбедносна питања која су одговарала погрешно била 'закључана' и не постављана поново. "

"Безбедносна питања су најмање сигуран начин да се било шта обезбеди." Рик Фергусон @ТрендМицро# АИСА2016

- Трацеи Спицер (@ТрацеиСпицер) 19. октобра 2016

Уз то, Ваугхн је потврдио Кребсу да ће вишеструки неуспјели покушаји резултирати закључаним рачуном. Због тога корисник мора директно комуницирати са Унитед Аирлинес-ом да би откључао свој рачун.

Конвенционална мудрост

Унитед Аирлинес је идентификовао сигурносну рањивост, али њихов одговор није у потпуности решио то питање. Као што смо видели, једини заиста сигуран начин да одговорите на безбедносно питање је, попут лозинке, пружањем нечег заиста јединственог и случајног. То у нади да ће потенцијални хакери бити фрустрирани сложеношћу и прећи на следећи налог.

Откриће да општа јавност пати од сигурносног умора важно је јер има утицаја на радно место и у свакодневном животу људи. Критично је због тога што толико много људи купује путем интернета, а пошто се здравствене услуге и друге драгоцене информације премештају на интернет.

Ако људи не могу да користе безбедност, неће то да ураде и тада ми и наша нација нећемо бити сигурни.

- Когнитивни психолог и Сигурни умор коаутор, Бриан Стантон

Јао, сигурносни умор је веома стваран проблем. Корисници су све уморнији. Кршења безбедности и ресетовања принудне лозинке сада су тако чести, многи корисници једноставно игноришу упозорења. Овај умор води до ризичног понашања корисника и код куће и на радном месту. Предлажемо:

• Аутоматизирати — Преузмите контролу над својом безбедношћу и аутоматизујте скенирање, прављење резервних копија Немојте платити - Како победити Рансомваре!Замислите да се неко појавио на вашем прагу и рекао, "Хеј, у вашој кући има мишева за које нисте знали. Дајте нам 100 долара и решићемо их се. "Ово је Рансомваре ... Опширније и још.
• Управљање лозинком — Решења за управљање лозинком доступна су на ЛастПасс-у Савладајте своје лозинке заувек помоћу Ластпасс 'сигурносног изазоваТолико времена проводимо на мрежи, са толико налога, да памћење лозинки може бити јако тешко. Забринути због ризика? Сазнајте како користити ЛастПасс-ов сигурносни изазов за побољшање безбедносне хигијене. Опширније или КеиПасс, а обојица се брину и о вашим безбедносним питањима.
• Преузму власништво - Ваша сигурност података је ваша одговорност. Имамо велика очекивања од институција које поседују наше податке, и то тачно. То ће рећи, ако код куће не изричете јаке мере безбедности, сносићете део кривице.

Ми смо опширно написано о превазилажењу сигурносног умора 3 начина да се победи сигурносна умора и останете сигурни на мрежиСигурност умора - исцрпљеност бављења мрежном сигурношћу - је стварна и многи чине мање сигурном. Ево три ствари које можете да предузмете да победите безбедност и уморите се. Опширније . Прочитајте га и преузмите контролу над вашим безбедносним питањима!

Како одговарате на своја безбедносна питања? Јесте ли погодили слатко место? Или користите апликацију за управљање лозинком? Обавестите нас у даљем тексту о вашим безбедносним питањима!