“秘密”问题使账户变得脆弱

日期:2019-02-05 06:13:07 作者:全邬所 阅读:

杰西卡格里格斯你的秘密问题是什么您母亲的娘家姓你的第一只宠物对于许多人来说,像这样的事实都可以保护他们的电子邮件和其他帐户,如果他们忘记了密码现在,美国华盛顿州雷蒙德市微软研究院的研究人员进行的一项新研究(pdf)揭示了这些安全问题的答案对于其他人来说是多么容易猜测熟悉32位网络邮件用户 - 他们通常不会与他们分享登录详细信息的用户 - 被要求尝试猜测用户分配的用于保护其帐户的答案志愿者设法在近五分之一的时间内正确猜测,对常用系统的安全性提出质疑然而,微软的第二项研究提出了一个更安全的选择:如果帐户被锁定,依靠可信赖的朋友为您担保保护网络邮件非常重要,因为电子邮件帐户通常允许攻击者访问其他帐户,例如,eBay和亚马逊,英国剑桥大学的安全工程师Ross Anderson指出,因为可以请求密码提醒将被发送到受损帐户 “如果我可以通过您的电子邮件帐户恢复这些密码,那么我可以将您的信用卡余额用于平板电视,”他说黑客可以通过猜测密码来破解开放的网络邮件帐户然而,许多提供商,包括美国在线,谷歌,微软和雅虎的四大提供商,都使用秘密问题来触发密码重置,这让黑客在去年损害了美国副总统候选人萨拉佩林的雅虎帐户在微软的Stuart Schechter和Rob Reeder提出的新系统下,用户选择了几个“受托人”如果用户被锁定在他们的帐户之外,他们的受托人会收到一条消息,要求他们下载“恢复代码”用户必须从多个受托人那里收集代码才能解锁他们的帐户一组19名Hotmail用户试用了该系统,17名成功重新获得了对其Hotmail帐户的访问权限 Schechter和Reeder表示,90%的成功率与标准秘密问题系统80%的成功率相比是有利的在试用期中,大多数用户在两天内恢复了帐户然而,当研究人员让用户熟人要求受托人放弃代码时,他们中的许多人都这样做了 Reeder说,通过让账户持有人提前告知受托人他们的角色,可以避免这种攻击在试验中,受托人只是收到一封包含该代码的电子邮件安德森表示,新方法不应取代标准的秘密问题方法,而应成为用户的可选选择,他同意培训受托人具有适当的安全意识非常重要但是,这个想法有希望,Reeder说,并指出让人们使用第三方来支持他们的身份并不是一个新想法 “当我开设第一个银行账户时,在70年代初,我不得不提供三个参考,”他说这两篇微软论文上周在美国马萨诸塞州麻省理工学院举行的安全与人类行为会议上发表更多关于这些主题: