В последнее время было осуществлено несколько громких взломов (в том числе взлом почтового ящика Сары Пэйлин) с помощью подбора правильного ответа на «секретный» вопрос. Слово «секретный» здесь в кавычках неспроста, потому что на самом деле эти вопросы совершенно не выполняют свою функцию надёжной аутентификации пользователя. Чтобы доказать это, исследователи из университета Карнеги-Меллона провели небольшое исследование, результаты которого огласили на недавнем сипозиуме IEEE по безопасности.
Оказалось, что в 28% случаев «секретные» ответы участников исследования могут легко подобрать их друзья, родственники или другие люди, которым они доверяют. А в 17% случаев «секретный» ответы успешно подбирают даже люди, которым участники исследования не доверяют, то есть практически незнакомцы. Таким образом, надёжность этого «способа защиты» не превышает 72-83%.
Известный специалист по безопасности Брюс Шнайер много лет назад говорил, что это просто идиотизм, когда система восстановления пароля менее безопасна, чем сам пароль. С тех пор ситуация абсолютно не изменилась.
via Slashdot
Оказалось, что в 28% случаев «секретные» ответы участников исследования могут легко подобрать их друзья, родственники или другие люди, которым они доверяют. А в 17% случаев «секретный» ответы успешно подбирают даже люди, которым участники исследования не доверяют, то есть практически незнакомцы. Таким образом, надёжность этого «способа защиты» не превышает 72-83%.
Известный специалист по безопасности Брюс Шнайер много лет назад говорил, что это просто идиотизм, когда система восстановления пароля менее безопасна, чем сам пароль. С тех пор ситуация абсолютно не изменилась.
via Slashdot
