«Секретные» вопросы — пародия на безопасность

    В последнее время было осуществлено несколько громких взломов (в том числе взлом почтового ящика Сары Пэйлин) с помощью подбора правильного ответа на «секретный» вопрос. Слово «секретный» здесь в кавычках неспроста, потому что на самом деле эти вопросы совершенно не выполняют свою функцию надёжной аутентификации пользователя. Чтобы доказать это, исследователи из университета Карнеги-Меллона провели небольшое исследование, результаты которого огласили на недавнем сипозиуме IEEE по безопасности.

    Оказалось, что в 28% случаев «секретные» ответы участников исследования могут легко подобрать их друзья, родственники или другие люди, которым они доверяют. А в 17% случаев «секретный» ответы успешно подбирают даже люди, которым участники исследования не доверяют, то есть практически незнакомцы. Таким образом, надёжность этого «способа защиты» не превышает 72-83%.

    Известный специалист по безопасности Брюс Шнайер много лет назад говорил, что это просто идиотизм, когда система восстановления пароля менее безопасна, чем сам пароль. С тех пор ситуация абсолютно не изменилась.

    via Slashdot
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 55

      +10
      Я обычно в качестве ответа на секретный вопрос пишу
      asfljhafs wea;ouaso[dif pasdofuypoasdf poi asdfopuy asdfopi yasdfopuiy asdf
        +17
        Вы где-то ошиблись, не подошло ;)
          0
          попробуйте в русской раскладке.
            +1
            >фыадорфаы цуфжщгфыщхвша зфывщагнзщфыва зщш фыващзгн фыващзш нфыващзгшн фыва
            А толку-то?
              +1
              А в японской?
              В какой то должно подойти…
                0
                ставлю вам «плюс» за трудолюбие — фраза была не короткой…
                  +1
                  Увы, разочарую вас.
                  punto.yandex.ru/ для win
                  xneur.ru/ для *nix
                  и что-то есть для мака…
                    0
                    Kirgudu для Mac OS X pihto.com/kirgudu
                      0
                      Ну и typing.su — на любой платформе.
              0
              Зря вы это сказали. Я вломал все ващи ящики. Трепещите :)
                +1
                вот вот, та же история. Ответ обычно совсем не подходит к «секретному вопросу».
                  +1
                  Может быть лучше писать что-то в духе «3QevIqfTScKN5Y1c6WUjJS3jvreK4NLSVFNBjJFR3c51J8OF0X43LszedKQIRZhk»?
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Да. От /dev/urandom %)
                        0
                        как потом это вспомнить, если рандом
                          0
                          Никак. Ну или, если есть вероятность необходимости вспоминания — на бумажку, в конверт и в сейф.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      +6
                      — Открыл первый шифр? Хорошо. Теперь набирай ключ… он простой…
                      ламерский…
                      Вот оно в чем дело!
                      — Это фраза, первая буква строчная, все остальные прописные. Пробелы
                      значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
                      Чего он тянет…
                      Чингиз выдыхает и ледяным голосом произносит:
                      — Сорок тысяч обезьян в жопу сунули банан.
                      Темный Дайвер сгибается от беззвучного хохота. Трубка в его руке
                      пляшет у лица Чингиза. Падла издает хрюкающий звук, пытается скосить
                      глаза на Чингиза, потом смотрит на меня.
                      Я держусь. С трудом, но держусь.
                        0
                        а чем кончился народный конкурс на угадывание пароля падлы, кстати?
                          0
                          Если честно, то я не знаю. Никогда не видел такого конкурса, но сам пытался расшифровать.Много вариантов. Обширен русский мат
                            0
                            Кстати, пароли типа Сорок тысяч обезьян работают очень хорошо.
                            Из-за длины хрен подберешь, из-за юмора хрен забудешь.

                            Единственная проблема — система должна поддерживать длинные пароли.
                        –1
                        я уже зашел в систему восстановления пароля на вашем ящике :) спасибо за подсказку!
                        +7
                        не иначе как оригинал статьи был написан самим Кэпом.
                        с вопросами поступаю с ними также как в посте выше.
                          0
                          а я всегда честно отвечаю на вопрос. Просто посылаю подальше, но честно
                            0
                            Что характерно, если ответить на секретный вопрос какую-то фигню, то через 2 года уже ее ни за что не вспомнишь, поэтому так делать нельзя.
                            А еще нельзя пользоваться стандартными секретными вопросами, думаю в этом основная беда (пресловутая «девичья фамилия матери», которая пробивается по базам).
                            Я указываю кастомный вопрос, причем нетривиальный и составной, но который я смогу через много лет так же легко вспомнить. Надо спрашивать что-то типа:
                            «Через подчеркивание прописными русскими буквами: имя первой девушки, что крикнул Вася когда навернулся с велосипеда в Крыму, священное число над которым все шутили в школе». Тогда шансы вспомнить через много лет будут велики, а то что кто-то подберет — ничтожны.
                              +13
                              ЮЛЯ_42
                                0
                                Размер обуви?
                                  +1
                                  Тогда уж лучше ЮЛЯ_3 ;)
                                    0
                                    Или ЮЛЯ_2. В целом зависит от самой Юли на самом деле.
                                0
                                Одна проблема — длина кастомного вопроса часто ограничена какими-нибудь 30 символами…
                                Лучше использовать какой-то стандартный алгоритм — всегда и везде. Ну, скажем, в вопросе писать страницу, строку, порядковый номер слова из известной вам книги. И только вы знаете, что это 3-й том Войны и Мира 1937 года издания, издательство «Художественная Литература»
                                +5
                                У меня есть универсальный пароль, который я пишу ко всем воообще «секретным вопросам», независимо от того, девичья фамилия матери это или любимый цвет правого ботинка.

                                Больше нигде его не использую.
                                  +1
                                  Самый нормальный вариант.

                                  В секретных вопросах особенно прикалывает «девичья фамилия матери».
                                  Да и остальные вопросы типа «имя кошки» или «любимое блюдо» сильно поддаются социальной инженерии.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                    +1
                                    Проблема в том, что при взломе одного сервиса, который хранит Ваш пароль в открытом виде, а не хешем (или перехватом не-https трафика, или кейлоггером, etc.) будет получен универсальный пароль ко всем Вашим ресурсам.

                                    Я бы рекомендовал фичу восстановления забытого пароля с помощью секретных вопросов/ответов не использовать вообще, т.к. она уменьшает безопасность.

                                    Пароли ко всем ресурсам — случайные. Все пароли хранятся в локальном, зашифрованном (мастер-паролем) файле, который регулярно бэкапится в разные места. В поле ответа на секретный вопрос пишется либо текущий пароль к системе либо мусор.
                                      0
                                      Последний абзац как про меня :)
                                      +2
                                      Пишу в вопросе случайный набор символов A, а ответе — MD5(A+мастер-пароль). Жаль, не все дают указывать свой вопрос.
                                        0
                                        Отличное развитие идеи :)
                                          0
                                          Ещё бывают дурацкие ограничения на набор символов в ответе, типа только буквы. Так что метод не универсальный, увы…
                                        0
                                        Во многих местах помимо ответа предлагают вспомнить еще и вопрос… 100% секьюрность гарантированна) по крайней мере от меня самого…
                                          0
                                          Если предлагают из нестандартного выбора, то да. Если просто надо вспомнить, то это нереально :)
                                          0
                                          Иногда удобно, когда можно восстановить пароль по «секретному вопросу», но в таком случае надо обязательно предоставлять пользователя ввести свой вопрос. Не понимаю, почему до сих пор на громдном количестве сайтов, в частности почтовиков это сделать нельзя.

                                          Хех, решил поинтересоваться, какие секретные вопросы у друзей. У одной подруги вопрос был «Ваше любимое животное». Ответ был дан верный с первого раза — «кошка». Ну и куда такую безопасность?
                                            0
                                            Это вы ещё не знаете, какой у неё пароль… :)
                                            –2
                                            Кстати, если ответ — фамилия, можно и перебор поробовать
                                              +3
                                              У меня знакомый на все вопросы в таких системах писал ответ «Ёжик в тумане» и был дико доволен своей находкой. А потом он попал на сайт с вопросом «ваш любимый мультфильм детства» и впал в ступор.
                                                +1
                                                Мой любимый цвет, номер школы, фамилия первой девушки — картошка.
                                                Относительо безопасно и просто запомнить. Ну естественно картошка — это не правда, правда морковка.
                                                  +2
                                                  Опоздал Вовочка на урок. Марья Ивановна его спрашивает:
                                                  — Вовочка, ты почему опоздал? Где был?
                                                  — Марь Иванна, я картошку жарил.
                                                  — Ну, если так, то заходи. Умница, Вовочка, хозяйственный мальчик.
                                                  Проходит ещё пять минут. В класс заходит девочка.
                                                  — Марь Иванна, извините за опоздание…
                                                  — Так, а ты, Картошкина, где была?!
                                                +2
                                                Во многих системах секретный вопрос не поможет восстановить пароль без доступа к регистрационному email.
                                                Т.е. нужен и доступ к email, и секретный вопрос.
                                                В этом случае нет ничего страшного в легком вопросе.

                                                Сам раньше писал случайную белиберду в ответ на секретный вопрос, но один раз забыл пароль к платежному сервису и, хотя был доступ к email, паспортные данные, номер карточки и т.д., пришлось довольно долго доказывать поддержке, что я — это я, т.к. я не мог вспомнить данный мной при регистрации ответ на секретный вопрос «Место рождения».
                                                  +3
                                                  Самой «безопасной» во времена нашего детства была почта mail.ru:
                                                  Во-первых отсутствовал секретный вопрос «свой вопрос», а ответы на все остальные как правило можно узнать в течение часа. Например «как зовут питомца» — не поленись, сходи да и спроси у соседей, как зовут собаку. Делов то.
                                                  Во-вторых пароль пересылался в открытом текстовом виде и ловился любым сниффером.
                                                  В-третьих если владелец не проверял почту 90 дней, ящик удалялся. Это самая прелесть, потому что содержимое ящика не представляло интереса для молодых «хакеров», целью были пароли от других сайтов, которые можно было «восстановить» на e-mail. Для получения всех паролей нужно было просто дождаться, пока ящик удалят за непосещаемость, и создать его снова, уже со своим паролем. Работало это много лет подряд, разработчики не реагировали ни на какие прецеденты и письма в саппорт.
                                                    +3
                                                    Мне саппорт mail.ru однажды прислал в ответ шедевральное письмо с фразой, что они не занимаются поддержкой пользователей :-)
                                                    0
                                                    Сама по себе парольная защита очень уязвима, ибо обладает принципиальными недостатками — простые пароли легко подбираются, а сложные легко забываются. Кстати эти самые «секретные вопросы» и нужны потому, что пользователи забывают свои пароле. В идеале ключ аутентификации — это что-то аппаратное, что можно носить с собой в кармане. Флэшка, смарт-карта…
                                                      0
                                                      Флэшка, смарт-карта…

                                                      бумажка с рандомным паролем!
                                                      0
                                                      Примерно 35% ответов на секретный вопрос типа ваш любимый цвет — красный, зеленый итд…
                                                      Примерно столько же пользователей не могут вспомнить ответ через год-полтора.
                                                      Из тех, кто помнит ответ через год — ответ на секретный вопрос можно вытащить под тем или иным предлогом.

                                                      Идеально в качестве усилителя пароля подходит такая штука:


                                                      ^^Оно генерирует каждую минуту новый код по алгоритму.^^
                                                      Оно работает отлично, проверено на людях.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          Задаю секретный вопрос обычно: fakanj. Ответ — в японской раскладке. От младохакеров думаю спасает — поди догадайся, что это значит, и что ни один вариант ASCII и кириллицы не подойдет))

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое