如何处理登录/密码安全问题

安全问题,也称为秘密问题,可以说是您目前可能看到的最差的备份身份验证和帐户恢复机制。过去他们确实工作过,但是现在,他们既不安全,也不会在惊人的大量现实场景中保密。

以下是一些他们正在思考的例子,可以让您了解问题的严重程度。

罪犯#1:

这是从2014年开始,我们无法验证系统是否仍然以相同的方式运行。正如您所看到的,用户被迫从下拉菜单中选择“安全问题”,第一个选项是...... * drumroll * ...“加利福尼亚州的[原文如此]国会大厦是什么?”是的,用户可以选择使用一个问题来保护自己的帐户,而这个问题的答案只是谷歌搜索。

现在,您和Twitter线程中的许多人一样,可以争辩说用户不会被迫正确回答问题,但这不是重点。在最糟糕的情况发生之前,用户并不倾向于考虑安全问题,并且许多人很想通过在答案字段中输入萨克拉门托来表明他们在学校一直在关注。即使他们不这样做,一个拥有城市名单的黑客仍然可能会在几次尝试中猜出答案。

罪犯#2:

这是美国的联合航空公司。 2016年,他们更新了Frequent Flyer计划的登录机制。他们表示,这些变化是提高安全性的一部分。他们的客户使用的4位数PIN被密码取代,这似乎是朝着正确方向迈出的一步(尽管一些弱密码可能比PIN更安全)。然而,他们说,每次用户从新设备或新浏览器登录时,他们都需要回答5个“安全问题”。他们让用户从下拉菜单中选择问题和答案。

问题数量有限(这是大多数此类系统中的一个固有问题),并且答案数量有限(在“您在哪个月与您的配偶或其他重要人物会面?”的情况下只有12个)。那些认为不回答1而不是2,而是回答5个不同的安全问题的人可能会阻止黑客进入他们的轨道,不应该忘记网络犯罪分子过去曾经面临过更严峻的挑战,他们已经脱颖而出。当美国联合航空公司表示这种设计是为了保护用户免受键盘恶意软件攻击时,他们表明他们对安全性的理解有多么糟糕。

罪犯#3:

这个值不值得评论. 安全专家Bruce Schneier将其描述为“ 秘密问题的新低 ”,美国国家档案馆网站使用的第三方认证工具包让用户可以选择“您首选的互联网密码是什么?”作为他们的秘密问题。

可怕的首选互联网密码挑战问题示例图片

上面的三个例子显示了当开发人员和供应商急于推出和推销产品而不考虑其(安全)的潜在后果时会发生什么。然而,即使实施不是那么可怕,作为认证机制的安全问题仍然不起作用。

在理想的世界中,每一种认证机制都是50/50的安全性和可用性。当然,我们并不生活在一个理想的世界中,我们用来证明我们在互联网上的身份的所有媒介都存在潜在的陷阱。关于安全问题的问题是它们设法既不安全又难以使用。

对于对该主题感兴趣的任何人来说,安全方面应该是非常明显的。除非您仍然使用邮寄鸽子进行交流并在老式的黑白电视上观看新闻,否则您无法摆脱互联网上有关您和您所爱的人的大量信息的事实。 。更糟糕的是,你无法控制它。

这意味着,在这个时代,保护您的帐户时会出现诸如“您母亲的婚前姓名是什么?”之类的问题。这不是一个非常好的主意。几乎同样的事情也适用于“你的第一辆车的品牌和型号是什么?”,“你在哪个城镇的名字是什么?”等等。如果社交网站上没有它,这个信息可能会拥有前重要的他人,你已经堕落的亲人,以及你过去信任过的其他人。即使它们未包含在您的威胁模型中,黑客仍然可以猜测它们,尤其是当安全问题的可能答案数量有限时(例如,“谁是您最喜欢的超级英雄?”)。 过去曾发生过涉及安全问题猜测答案的事件 ,如果用户和供应商没有采取相关措施,我们将来可能会看到这些事件。

谷歌在2015年发表的一份研究论文中详细介绍了所有这些内容。研究人员旨在证明安全问题远不是验证用户身份和重置密码的完美方式。他们确实做到了这一点。

除了秘密问题的安全方面,谷歌还研究了设置和使用秘密问题的难易程度。事实证明,可记忆性是一个严重的问题。例如,他们观察到仅仅一个月后,大约26%的人忘记了他们“最喜欢的食物”的答案?秘密问题. 到第三个月,将近一半的用户不记得他们最喜欢的食物是什么,一年之后,只有47%的人能够正确回答。当人们不诚实地回答以使他们的安全问题更安全时,这个问题就会放大。当问题的性质使答案更难以猜测时(例如,“你的第一个电话号码是什么?”),可记忆性是一个更大的问题。

谷歌的结论是,如果黑客无法猜出秘密问题的答案,用户就无法记住它们。这就是为什么,大多数网站和服务提供商一直在缓慢但肯定地从他们的注册表中删除秘密问题。然而,有些人仍然拥有它们,这就是用户需要知道如何处理它们的原因。

专家似乎同意,处理秘密问题答案的唯一方法是使它们像密码一样强大和独特。没有黑客能够猜到你妈妈的娘家姓名是“5q *#!#0 | @! - * E2”或者你最喜欢的运动队是“=你 - @:nL ^ !!:?9 @” 。当然,记住长串的字母,数字和特殊字符很困难,但Cyclonis密码管理器及其私人笔记功能可以提供帮助。事实上,它可以使整个过程变得更加容易。

使用密码生成器,您可以创建一个随机字符串,而不是试图想到您的第二个最喜欢的意大利菜。使用它来回答您的秘密问题并将其与问题一起保存为私人注释。您的私人笔记将被加密并存储在您的个人保管库中。访问它们的唯一方法是使用主密码。

Cyclonis Password Manager可以为您记住您的密码,这意味着您不太可能使用您保存的秘密问题来重新获得对帐户的访问权限。然而,一些公司仍将它们用作手机认证的手段,这意味着将它们存放在安全的地方可以为您节省很多麻烦。

虽然它们远非完美,但安全或秘密问题仍然存在,在某些情况下,它们仍然是应该保护敏感数据的机制的一部分。管理它们与管理密码同样重要。

May 23, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
4 + 10是什么?