剑客
关注科技互联网

[译]杀了安全问题的时间 — — 或回答他们用谎言

使用鲁棒、 随机密码的概念已成为所有但主流 — — 现在的安全感初露端倪的人都知道”password1″和”1234567″,也不做任何好处。但即使作为密码的安全性提高了,还有一些更为严重的问题,我为人人︰ 安全问题。

上周雅虎透露,它已经遭到大规模黑客攻击,与至少 5 亿的其用户的数据受到国家资助入侵者。包含在该公司的列表中被破坏的数据不只是通常的哈希的密码和电子邮件地址,但安全问题与答案,受害者有选择作为重置其密码的备份手段 — — 据说秘密信息像你最喜欢的地方度假或街道你长大的。雅虎的数据崩溃凸显那些看似无害的问题如何在我们的在线身份验证系统保持的一个薄弱环节。安全社区询问安全问题,他们会告诉你,他们应该取消 — — 直到他们,你应该永远不会诚实地回答他们。

从他们危险 guessability 后像雅虎的严重违反规定改变他们的困难,安全问题已被证明是深深地不足作为密码的应急机制。他们注定会是一个可靠的最后恢复功能︰ 即使你忘了一个复杂的密码,其思路是,你不会忘记你母亲的娘家姓或者你出生在这个城市。但依靠从未打算暂时保密,放在第一位的实际数据 — — 网络和社交媒体搜索通常可以揭示一个人长大的地方或使他们第一辆车是什么 — — 方法置于危险境地的帐户。你第一个宠物的名字永远不会改变,因为安全问题的答案可以立即妥协,跨许多数字服务如果通过数字窥探或数据破坏,揭示了他们。

请重置您母亲的婚前姓

所有这一切导致安全专家主张他们的灭亡。”我想看到这种做法会消失,”说吉姆芬、 标识隐私和安全顾问在开博客不安全问题。”如果密码脆弱为什么会安全问题不知何故如此特别,他们生活下去?”芬顿指出,每个新的数据违反揭示了更多的个人信息,可以使猜测安全问题的答案更容易,或只允许黑客重用泄漏的安全回答问题来访问另一个服务。”攻击者得到更广泛和更广泛的信息所有的时间关于用户通过聚合所有这些不同的泄漏,”他说。

“对不起,如果你有雅虎帐户,您将需要找到一个新的母亲,和在不同的街道,都长大了,但”宾夕法尼亚大学计算机科学家马特大火打趣说 Twitter 后雅虎的数据违反公告。安全问题和答案之间重复使用网站,他补充说,”意味着对雅虎的规模数据违反安全等效的生态灾难。”

即使联邦政府已准备伺机安全问题。今年 7 月,美国国家标准和技术发布其新的草案提出数字身份验证准则,和以前的修订版本列出”预注册的知识标记,”或安全问题,作为一种推荐的身份验证技术,而新草案消除了任何提及此类措施。换句话说,NIST,不再赞同作为一项措施保护联邦帐户安全问题。甚至雅虎本身,而提供工具,确保用户帐户根据其违约行为,现在具体指出,”以确保您的帐户,我们建议您禁用你的安全问题。

在 2015年论文中,两个谷歌安全研究人员分析了该方法的弱点,并得出结论,”秘密提问是既不安全也足够可靠,可用于作为一个独立账户的恢复机制。那是因为他们患有一个根本性的错误︰ 他们的答案是有点安全或容易记住 — — 但很少是两个.”在长时间的研究甚至出来之前,谷歌被淘汰安全问题和要求用户设置 SMS 文本消息和备份电子邮件地址,以启动恢复帐户。

没有快速修复

但是,安全问题的转变绝非易事。公司需要实现像发送密码重置说明为一个备用电子邮件地址,要求用户产生物理身份验证转换器,或使用从一个安全的身份验证应用程序的实时生成的代码替代应急解决方案。事情得到复杂因为即使像发送 SMS 文本为预定数量,安全问题,自己的 hassecurity 问题受欢迎当前替代。杰弗里 · 戈德堡,AgileBits 的产品安全官员 — — 使流行的密码管理器 1Password 安全公司 — — 说,所有这一切使得问题难解决。”(在) 安全问题是可怕的”他在一封电子邮件中写道。”它是容易谈一谈,[他们] 创建,但很难提供一个替代的可怕安全洞。

但是 NIST 高级标准和技术顾问保罗 Grassi,工程标准修订,认为有足够的替代办法可用,他们可以被淘汰,甚至为联邦政府的安全问题。”我们认识到,并不一刀切,”他说。”所以希望我们正朝着一个模型在机构发出很多东西。你想要 Google 提示吗?去做吧。你想要 U2F 吗?去做吧。你想在一张我们寄给你的纸上所写的东西吗?你去为它 !。

流行的 web 服务正试图从安全问题转向那些优越的选项,但在不同阶段的过渡。最突出在他们将用户引导到更改密码的登录页面上显示一个”忘记密码”链接工具。但若要更改安全问题自己你有以狩猎通过帐户选项。Twitter 似乎并没有在所有的帐户恢复使用安全问题。Facebook 将只作为最后的手段提供安全问题,当用户指示他们不再有对备份的电子邮件地址或电话号码他们先前设置的访问。但 Facebook 不允许用户进行过更新或改进他们的问题。亚马逊的支付,也是这样。许多银行像美国银行、 TD 银行和保真度,仍然严重依赖安全问题作为帐户恢复技术。

我的第一辆车是 Y ^ i72b(lV$

因为安全问题不短时间内,有的步骤,你可以同时加强你的 — — 至少对于某些服务。要安全答案更鲁棒,最佳方式是躺在你的答案,和理想的情况下使用一个随机的字符串的字符作为答案而不是提交任何有意义的信息。这样一来,即使问题解决你自信黑客不能去找你,晦涩的生活细节你仍然不展现出可能受到违反的答案。

在频繁的数据数据泄露的时代,你母亲的娘家姓也许应该 4tz9Ru #p 和你的童年最好朋友 b2p ^ fqw。 https://t.co/PJ8hmLISa4

— — 克里斯托弗 · 索菲安 (@csoghoian) 2016 年 9 月 23 日

为什么我安全问题的答案不是真正的答案,坚强面对,并且独特。把它像一个密码。 https://t.co/rTlslLBfap

— — 惠特尼美林 (@wbm312) 2016 年 9 月 23 日

当然,这种方法使得安全答案几乎不可能记住与真实个人的事实,我们毫不费力地保留。这就是为什么你要依靠使用密码管理器进行不仅存储强随机生成的密码,但来存储您的安全答案一样好。

如果你已经花时间要尽可能的多帐户添加到一个密码管理器和随机的密码,你知道这是一个可行,但是长期的项目。即使是在最高的效率,花一两分钟重置密码,添加一个新的问题,并确保字符的随机字符串正确保存在你的密码管理器中。平均的美国用户已超过 100 个数字帐户链接到他们的主电子邮件地址,所以随机每个安全问题时的机制并不总是很容易可仍然艰难前行。芬顿不安全问题建议侧重于改变帐户包含你最敏感的数据,如您的电子邮件,金融,和医疗账户安全答案。即使你没有了密码管理器和跑步的人,你仍然可以开始使用一个来跟踪安全答案。”你应该为每个站点和服务的唯一密码和你应该有安全问题的唯一答案和一个密码管理器是方式做到这一点,”AgileBits 的戈德堡说。”但这不是全部-或任何声明。你可以只是开始,自行决定把 [一些] 安全答案注入我的密码管理器。”你不需要做不可能的事。

安全问题可以合理地保护,如果你使用他们基本上第二而强的密码。但在线服务接受用户输入的深深不安全安全答案,多年来,和改变并不容易。它是好过去的时间,不过,搬离了充其量只为鲁棒作为密码,和最坏的情况系统变成你死仓鼠名称危险的安全漏洞。

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址