Varför du svarar på lösenordssäkerhetsfrågor fel

Annons

När vi registrerar oss för en ny onlinetjänst uppmanas vi alltid att skapa ett lösenord. Detta säkrar omedelbart det nya kontot. Om du är förnuftig väljer du en lång, helt slumpmässig sträng, eller låt en lösenordshanteringsapp göra jobbet Den kompletta guiden för att förenkla och säkra ditt liv med LastPass och XmarksMedan molnet betyder att du enkelt kan komma åt din viktiga information var du än är, betyder det också att du har många lösenord att hålla reda på. Det är därför LastPass skapades. Läs mer till dig. Nästa i sekvensen kommer säkerhetsfrågor.

Dessa frågor ber vanligtvis om din mammas jungfrun, namnet på din grundskola, namnet på ditt första husdjur och så vidare. Säkerhetsfrågorna, som är utformade för att hålla våra konton skyddade från hackare, bör fungera som en extra försvarslinje.

Hur svarar du på dessa frågor? Berättar du sanningen, hela sanningen och ingenting annat än sanningen? Tyvärr kan din sanningsenhet skapa en oväntad chink i din online rustning. Låt oss ta en titt på exakt hur du gör det skall besvara dessa frågor.

En skyddsbarriär

Tips om lösenord är utan tvekan till hjälp. Ett användbart tips kommer att visas om du glömmer ditt Windows-lösenord. Och detta är bara efter ett enda misslyckat försök. När det gäller Windows-lösenordet bör din ledtråd uppdatera minnet. Det påminner dig om att använda en ledtråd du har valt, så att du kan vara så kryptisk eller öppen som du känner.

Säkerhetsfrågor är olika. Vi möter regelbundet de välkända frågekombinationerna som jag nämnde ovan och ger gärna korrekta svar. Säkerhetsfrågor presenteras som en ytterligare försvarslinje. Du bör dock överväga den relativa enkla att få några av svaren i dagens ultralänkta samhälle.

Säkerhetsforskare regelbundet låter sig säkerhetsfrågor vara obelåg Hur man skapar en säkerhetsfråga som ingen annan kan gissaDe senaste veckorna har jag skrivit mycket om hur man kan göra onlinekonton återvinnbara. Ett typiskt säkerhetsalternativ är att ställa in en säkerhetsfråga. Även om detta potentiellt ger ett snabbt och enkelt sätt att ... Läs mer . Kan vi tro på en säkerhetsåtgärd vars svar kan upptäckas så lätt?

Jag gör det fel?

Angripare byter de enkla frågorna Hur man hittar och undviker 10 av de mest lurande hackningsteknikernaHackare blir smygare och många av deras tekniker och attacker blir ofta obemärkt av även erfarna användare. Här är 10 av de mest lumska hackningstekniker att undvika. Läs mer - färger, flicknamn, första husdjur - för de är det lätt att få via sociala mediekonton Hur du skyddar dig mot dessa åtta sociala tekniska attackerVilka socialteknik skulle en hacker använda och hur skulle du skydda dig mot dem? Låt oss ta en titt på några av de vanligaste attackmetoderna. Läs mer . För att förvärra saken kan en angripare eliminera andra potentiella lösenord om ditt konto använder extremt specifika frågor och svar.

Om säkerhetsfrågan till exempel var "Var köpte du din första bil?" angriparen kan omedelbart bortse från andra, enklare svar.

Jag är säker på att du redan har tagit den uppenbara lösningen på det här säkerhetsproblemet. Om angriparen letar efter ett svar som direkt relaterar till dig, varför inte använda något helt annat?

• Vad är din mammas flicknamn? fa1c0npunc4
• Var träffade du din partner? b1cycl3tyr3
• Vad hette ditt första husdjur? n0str0d4mu5

Okej, det är fruktansvärda exempel, men du får min drift. Om svaret är a) otydligt och b) använder slumpmässiga tecken, kommer du omedelbart att göra det ställa in säkerhetsfältet för dina konton så lite högre Har du tagit dessa fem första steg för att säkra dina konton online?Det är förvånande hur många människor ignorerar dessa grunder om att säkra dig själv online. Dessa fem webbplatser och verktyg gör online-säkerhet till en enklare jobb. Läs mer .

Och det kommer att göra mig säker?

säkrare, vän, men inte helt säkert.

2015, Google publicerade ett intressant dokument som utforskar de lärdomar de har lärt sig om säkerhetsfrågor. Med hjälp av deras nästan oöverträffade datauppsättning för att analysera de hemliga frågorna från deras monumentala användarbas, försökte de förstå hur effektivt detta ytterligare säkerhetslager är.

Vår analys bekräftar att hemliga frågor i allmänhet erbjuder en säkerhetsnivå som är mycket lägre än användarvalda lösenord. Det visar sig vara ännu lägre än fullmakter som den verkliga fördelningen av efternamn i befolkningen skulle indikera.

Överraskande fann vi att en betydande orsak till denna osäkerhet är att användare ofta inte svarar sant. En användarundersökning som vi genomförde avslöjade att en betydande bråkdel av användare (37%) som medgav att de gav falska svar gjorde det i ett försök att göra det göra dem "svårare att gissa" även om det här aggregerat på samma sätt hade motsatt effekt eftersom människor "härdar" sina svar på ett förutsägbart sätt.

Varför försöker vi ljuga, men gör det så dåligt? Som ni ser i diagrammet ovan tillhandahåller de flesta svarande falska svar med tron ​​att det kommer att öka deras säkerhet. Vi kan då anta att allmänheten (om än en liten ögonblicksbild av en enorm databas) förstår att säkerhetsfrågorna kan och kommer att användas mot dem.

Google-forskargruppen drar slutligen slutsatsen att säkerhetsfrågor antingen är något säkra eller lätta att komma ihåg, men den gyllene kombinationen är sällsynt att hitta. Därför "medan Google föredrar återställning av SMS och e-post är ingen mekanism perfekt."

Ett bra exempel

Tyvärr vägrade Google att erbjuda den verkliga storleken på databasen som användes för studien. De bekräftade emellertid att ”de uppgifter som behandlas innehåller hundratals miljoner datapunkter och var och en Frågan som analyserades hade över 1 miljon svar. ” Betydande siffror med tanke på deras uppskattade användarbas.

2016 lanserade United Airlines sitt nya, uppdaterade säkerhetssystem för sina kundkonton. Det gamla systemet som förlitade sig på 4-siffriga PIN-koder ansågs med rätta olämpligt för konton som eventuellt innehöll hundratusentals dollar ofta flygmiljöer. Det uppdaterade systemet kräver att användare anger ett unikt lösenord samt svarar på fem personliga säkerhetsfrågor.

Låter bra, eller hur? Förutom att United Airlines ber sina kunder att välja ett starkt, unikt lösenord och besvara sina frågor med en förutbestämd uppsättning svar. Det stämmer: förutbestämda svar. Till exempel, om du väljer frågan "I vilken månad är din bästa vänner födelsedag", har dina eftertraktade angripare - du gissade det - bara tolv svar på striden igenom. Hårda tider.

Förenade anledningen till att "de flesta säkerhetsproblem som våra kunder står inför kan spåras till datavirus som spelar in typ och använder fördefinierade svar skyddar mot denna typ av intrång."

Säkerhetsforskare Brian Krebs talade direkt till United Airlines chef för IT-säkerhetsinformationen Benjamin Vaughn. Vaughn sa att företaget "randomiserade frågorna för att blanda bot-program som försöker automatisera inlämning av svar, och att säkerhetsfrågor som besvaras fel skulle vara "låsta" och inte ställda på nytt."

"Säkerhetsfrågor är det minst säkra sättet att säkra något." Rik Ferguson @TrendMicro# AISA2016

- Tracey Spicer (@TraceySpicer) 19 oktober 2016

Förutom detta bekräftade Vaughn till Krebs att flera misslyckade försök skulle leda till ett låst konto. Följaktligen måste användaren direkt kommunicera med United Airlines för att låsa upp sitt konto.

Konventionell visdom

United Airlines identifierade en säkerhetsproblem, men deras svar löste inte problemet helt. Som vi har sett är det enda riktigt säkra sättet att besvara en säkerhetsfråga, precis som ett lösenord, genom att tillhandahålla något verkligt unikt och slumpmässigt. Detta i hopp om att potentiella hackare kommer att bli frustrerade av komplexiteten och gå vidare till nästa konto.

Upptäckten att allmänheten lider av säkerhetsutmattning är viktigt eftersom det har konsekvenser på arbetsplatsen och i människors vardag. Det är avgörande eftersom så många bankar online, och eftersom hälsovård och annan värdefull information flyttas till internet.

Om människor inte kan använda säkerhet kommer de inte att göra det, och vi och vår nation kommer inte att vara säkra.

- Kognitiv psykolog och Säkerhetsutmattning medförfattare, Brian Stanton

Tyvärr är säkerhetsutmattning ett mycket verkligt problem. Användare blir allt trötta. Säkerhetsöverträdelser och återställda återställningar av lösenord är nu så vanliga att många användare helt enkelt ignorerar varningar. Denna trötthet leder till riskabelt användarbeteende både hemma och på arbetsplatsen. Vi föreslår:

• Automatisera — Ta kontroll över din säkerhet och automatisera skanningar, säkerhetskopior Betala inte - Hur man slår Ransomware!Föreställ dig om någon dyker upp utanför dörren och sa: "Hej, det finns möss i ditt hus som du inte visste om. Ge oss 100 $ och vi kommer att bli av med dem. "Detta är Ransomware ... Läs mer och mer.
• Lösenordshantering — Lösenordshanteringslösningar tillgängliga i LastPass Behärska dina lösenord för gott med Lastpass 'säkerhetsutmaningVi tillbringar så mycket tid online, med så många konton, att det kan vara riktigt tufft att komma ihåg lösenord. Bekymrad över riskerna? Ta reda på hur du använder LastPass 'säkerhetsutmaning för att förbättra din säkerhetshygien. Läs mer eller KeyPass, och de båda tar också hand om dina säkerhetsfrågor.
• Ta äganderätt - Din datasäkerhet är ditt ansvar. Vi har höga förväntningar på att institutionerna håller våra uppgifter, och med rätta. Som sagt, om du inte inför starka säkerhetsåtgärder hemma, kommer du att dela skylden.

vi har skrivit mycket om att övervinna säkerhetsutmattning 3 sätt att slå säkerhetsutmattning och vara säker onlineSäkerhetsutmattning - en trötthet för att hantera online-säkerhet - är verklig och det gör många människor mindre säkra. Här är tre saker du kan göra för att slå säkerhetsutmattning och skydda dig själv. Läs mer . Läs det och ta tillbaka kontrollen över dina säkerhetsfrågor!

Hur svarar du på dina säkerhetsfrågor? Har du träffat den söta platsen? Eller använder du en app för lösenordshantering? Låt oss veta dina säkerhetsfrågestips nedan!