Istraživanje: Tajna pitanja ne štite lozinke

Čak i ako vaš supružnik ne zna vašu lozinku e-pošte, on vjerojatno zna dovoljno podataka za to.

Besplatni davatelji usluga e-pošte često predstavljaju takozvano "tajno pitanje" kao mehanizam provjere radi resetiranja zaporke računa. No, odgovor je često lako pogoditi drugi ljudi koji znaju nositelja računa, prema novoj studiji koja će biti objavljena tijekom IEEE simpozija o sigurnosti i privatnosti ovaj tjedan u Oaklandu u Kaliforniji.

U drugim slučajevima, stranci mogu uspješno dostaviti odgovore na neka pitanja, a to je kako je republikanska potpredsjednica Sarah Palin izgubila kontrolu nad svojim Yahoo računom. Sveučilišni student optužen za zaprimanje računa, David Kernell, izjavio je kako je potrebno manje od sat vremena istraživanja online kako bi se pronašla pravi odgovor za sigurnosna pitanja za Palinov račun.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računalo]

Studija je proučila pitanja koja su Yahoo, Google, Microsoft i AOL koristili u ožujku 2008. godine. U jednom testu istraživači su uparili dvije osobe zajedno s nositeljem računa e-pošte, rekavši da neće imati povjerenja u druge osoba s lozinkom. Kada se prikazuje sa tajnim pitanjem vlasnika računa, druga osoba pogodila je točno 17 posto vremena.

Među dvije osobe koje se međusobno pouzdaju, jedan partner je mogao dati odgovarajući odgovor za račun Hotmaila 28 posto vremena, rekao je istraživanje.

Čak i uz korisnike - sustav koji Google sada zapošljava - potpuni stranac mogao bi pogoditi 15 posto vremena u pet pokušaja.

Dio problema je taj pitanja su toliko čvrsta da malo internet pretraživanja može donijeti popise omiljenih TV emisija, sodas, piva, glumaca, itd. koji pomažu u postizanju bolje ciljanog nagađanja. Isto tako, geografski podaci pomažu kod pitanja poput "Koji je vaš omiljeni sportski tim", navodi se u istraživanju.

"Naši rezultati ne daju nam sigurnost da današnja osobna pitanja čine prikladnu autentifikaciju", napisali su autori. "Oni koji su teško pogoditi su manje vjerojatno da će biti izabrani od strane korisnika na prvom mjestu, a kad je izabran, oni su manje vjerojatno da će biti zapamćeni."

Iako je Yahoo u jednom trenutku predstavio najupečatljiviji skup pitanja u to vrijeme, sudionici studije zaboravili su svoje odgovore u roku od šest mjeseci. Autori su napisali da je Yahoo u veljači zamijenio sva devet osobnih pitanja za provjeru autentičnosti.

Problem nije lako riješiti. Mnoge druge web stranice ovise o slanju e-pošte na račun neke osobe kako bi potvrdili osobu, ali budući da račun e-pošte mora biti potvrđen, to predstavlja problem.

Jedno moguće rješenje za obranu od statističkih napada nagađanja bilo bi kažnjavanje pogrešnih odgovora ovisno o njihovoj popularnosti. Veličina kazne, pišu autori, ovisi o prilikama legitimnog korisnika da odgovori s više popularnih odgovora prije nego što dobije pravi odgovor.

Podaci u istraživanju ukazuju da ako osoba pogrešno pogađa dva popularna odgovora na pitanje, rijetko dobivaju treće pitanje.

Autori također preporučuju uklanjanje pitanja koja su statistički pogodna za više od 10 posto vremena, kao što je "Koji je vaš omiljeni grad?" Odgovori su definirani kao statistički pouzdani ako su među pet najpopularnijih odgovora drugih sudionika u njihovoj studiji.

Još jedan mehanizam za provjeru autentičnosti mogao bi biti SMS (Short Message Service) koji je e-mail usluga poslao osobi mobitel. No, to također predstavlja sigurnosna pitanja, budući da su telefoni ukradeni i izgubljeni, a SMS prijenosi imaju zabrinutosti za sigurnost, napisali su.

Studiju su napisali Stuart Schechter i A.J. Berheimova četka za Microsoft Research i Serge Egelman sa Sveučilišta Carnegie Mellon.