安全警示
为什么说密保问题就是渣?
[-]
Google的一份最新研究告诉人们,通过设置私密问题允许人们获取自己的密码,这个点子烂透了。
Google发布的一份白皮书《秘密、谎言和账号恢复:在Google学习关于使用私人信息问题的知识》深入挖掘了数百万次用户和各种找回密码的问题之间互动的数据,白皮书得出结论,密码找回问题总体上不但没什么用,而且存在安全风险。
密码找回问题的设计思路很符合逻辑:你忘了密码,如何让你登录?那就通过回答一些特定问题验证用户的身份。
这么做的问题在哪里?因为我们大多数时候记不得答案是什么,或者说为了提高这套机制的安全水平,有的人会故意写错的信息。
研究中也提到了其他的问题:比如说我们喜欢吃什么东西其实是随着时间变化的,设定密码找回问题时填写的食物,很可能到了需要找回密码的那天已经变了。设定密码后一个月内,人能够回忆起密码找回问题的概率是74%,但是3个月后,记起自己最喜欢吃什么的概率已经下降到了55%。
最容易记住的问题是什么?Google的研究人员告诉我们,是出生的城市。因为这个问题的回答总体成功率为80.1%。其次是自己父亲的中间名。
但是研究人员也指出——这些问题从根本上说就是不安全的——因为第三方只要知道你的姓名,很可能也能找出你的个人信息。
最难回忆起的问题是“你的常旅号是多少?”(谁他妈的会去记常旅号?)
这么说吧,安全程度越高的问题越难回忆起来。
还有一组统计数据让我们看到猜测别人的答案有多容易。比如说,有39%的概率能通过10次尝试试出韩语人士的出生城市,反正韩国就那几个大城市。
你有4%的机会只试一次就成功猜出西班牙语人士的父亲的中间名。对数百万私密问题和回答的审阅最后有什么结论?有两点。
首先,作为人类,虽然我们自己认为自己很聪明,但实际上人类蠢的不可救药。
其次,最好是通过短信或者电子邮箱找回密码。
研究总结说:“秘密问题通过和其他暗号组合使用还是有用的,但是不应该单独使用,最好用更可靠的替代性方法。”
本文译自 The Register,由 王大发财 编辑发布。