Perché stai rispondendo alle domande sulla sicurezza delle password errate
Quando ci iscriviamo ad un nuovo servizio online, viene invariabilmente chiesto di creare una password. Questo protegge immediatamente il nuovo account. Se sei sensibile, scegli una lunga stringa completamente casuale o lascia che l'app di gestione delle password esegua il lavoro La guida completa per semplificare e proteggere la tua vita con LastPass e Xmarks La guida completa per semplificare e proteggere la tua vita con LastPass e Xmarks Mentre il cloud significa che puoi accedere facilmente alle tue informazioni importanti ovunque tu sia, significa anche che hai molte password da seguire. Ecco perché è stato creato LastPass. Leggi di più per te. Successivamente nella sequenza arrivano domande di sicurezza.
Queste domande solitamente richiedono il nome da nubile di tua madre, il nome della tua scuola elementare, il nome del tuo primo animale domestico e così via. Progettato per mantenere i nostri account al sicuro da potenziali hacker, le domande di sicurezza dovrebbero fungere da ulteriore linea di difesa.
Come rispondi a queste domande? Dici la verità, tutta la verità e nient'altro che la verità? Sfortunatamente, la tua veridicità potrebbe creare una crepa inaspettata nella tua armatura online. Diamo un'occhiata esattamente a come dovrebbero rispondere a queste domande.
Una barriera protettiva
I suggerimenti per la password sono indubbiamente utili. Un suggerimento utile verrà visualizzato se si dimentica la password di Windows. E questo è solo dopo un singolo tentativo fallito. Nel caso della password di Windows, il tuo suggerimento dovrebbe rinfrescare la memoria. Ti ricorda di usare un suggerimento che hai selezionato, così da essere criptico o aperto come ti senti.
Le domande di sicurezza sono diverse. Affrontiamo regolarmente le familiari combinazioni di domande che ho citato sopra e forniamo volentieri risposte accurate. Le domande di sicurezza sono presentate come una linea di difesa aggiuntiva. Tuttavia, dovresti considerare la relativa facilità di ottenere alcune risposte nella società ultra-connessa di oggi.
I ricercatori di sicurezza deridono regolarmente le domande sulla sicurezza come scialbe Come creare una domanda di sicurezza che nessuno può indovinare come creare una domanda di sicurezza che nessuno può indovinare Nelle scorse settimane ho scritto molto su come rendere recuperabili gli account online. Una tipica opzione di sicurezza sta configurando una domanda di sicurezza. Mentre questo fornisce potenzialmente un modo semplice e veloce per ... Per saperne di più. Possiamo avere fiducia in una misura di sicurezza le cui risposte possono essere così prontamente scoperte?
Sto sbagliando?
Gli hacker predano le domande facili Come individuare ed evitare 10 delle tecniche di hacking più insidiose Come individuare ed evitare 10 delle tecniche di hacking più insidiose Gli hacker stanno diventando più snelli e molte delle loro tecniche e attacchi passano spesso inosservati anche da utenti esperti. Ecco 10 delle tecniche di hacking più insidiose da evitare. Per saperne di più - colori, nomi da nubile, primi animali domestici - perché sono facilmente ottenibili attraverso i social media Come proteggersi da questi 8 attacchi di ingegneria sociale Come proteggersi da questi 8 attacchi di ingegneria sociale Quali tecniche di ingegneria sociale userebbe un hacker e come ti proteggeresti da loro? Diamo un'occhiata ad alcuni dei metodi di attacco più comuni. Leggi di più . Per peggiorare le cose, se il tuo account utilizza domande e risposte estremamente specifiche, un utente malintenzionato può eliminare altre potenziali password.
Ad esempio, se la domanda di sicurezza fosse “Dove hai acquistato la tua prima auto?” l'attaccante può immediatamente ignorare altre risposte più facili.
Sono sicuro che hai già twigato l'ovvia soluzione a questo problema di sicurezza. Se l'attaccante sta cercando una risposta direttamente correlata a te, perché non usare qualcosa di completamente diverso?
- Qual è il nome da nubile di tua madre? fa1c0npunc4
- Dove hai conosciuto il tuo amore? b1cycl3tyr3
- Qual era il nome del tuo primo animale domestico? n0str0d4mu5
Ok, sono esempi terribili, ma tu capisci la mia direzione. Se la risposta è a) oscura eb) usa caratteri casuali, imposterai immediatamente la barra di sicurezza dei tuoi account un po 'più alta. Hai scattato questi 5 primi passi per proteggere i tuoi account online? Hai preso questi 5 primi passi per proteggere i tuoi account online? È sorprendente quante persone ignorino queste basi per assicurarsi online. Questi cinque siti Web e strumenti rendono la sicurezza online un compito più facile. Leggi di più .
E questo mi renderà sicuro?
Safer, amico, ma non del tutto sicuro.
Vedete, nel 2015, Google ha pubblicato un documento interessante che esplora le lezioni apprese in merito alle domande di sicurezza. Usando il loro set di dati quasi senza rivali per analizzare le domande segrete fornite dal loro monumentale user-base, hanno cercato di capire quanto sia efficace questo ulteriore livello di sicurezza.
La nostra analisi conferma che le domande segrete generalmente offrono un livello di sicurezza molto più basso rispetto alle password scelte dall'utente. Risulta essere addirittura inferiore ai proxy, come indica la reale distribuzione dei cognomi nella popolazione.
Sorprendentemente, abbiamo scoperto che una causa significativa di questa insicurezza è che gli utenti spesso non rispondono in modo veritiero. Un sondaggio tra gli utenti che abbiamo condotto ha rivelato che una significativa percentuale di utenti (37%) che hanno ammesso di fornire risposte false lo ha fatto nel tentativo di farli “difficile da indovinare” anche se sul complesso questo comportamento ha avuto l'effetto opposto delle persone “indurire” le loro risposte in un modo prevedibile.
Perché proviamo a mentire, ma poi lo facciamo così male? Come puoi vedere nel grafico sopra, la maggior parte degli intervistati fornisce risposte false con la convinzione che aumenterà la loro sicurezza. Possiamo quindi supporre che il pubblico generale (anche se una piccola istantanea di un enorme database) capisca che le domande di sicurezza possono e saranno usate contro di loro.
Il team di ricerca di Google conclude alla fine che le domande di sicurezza sono alquanto sicure o facili da ricordare, ma la combinazione d'oro è rara da trovare. Quindi “mentre Google preferisce il recupero di SMS ed e-mail, nessun meccanismo è perfetto.”
Un primo esempio
Purtroppo, Google ha rifiutato di offrire la vera dimensione del database utilizzato per lo studio. Tuttavia, lo hanno confermato “i dati considerati contengono centinaia di milioni di punti dati e ogni domanda analizzata ha avuto oltre 1 milione di risposte.” Figure sostanziali, considerando la loro base di utenti stimata.
Nel 2016, United Airlines ha implementato il suo nuovo schema di sicurezza aggiornato per i suoi conti dei clienti. Il vecchio sistema basato su PIN a 4 cifre è stato giustamente ritenuto inadatto agli account potenzialmente contenenti centinaia di migliaia di dollari di miglia frequent flyer. Il sistema aggiornato richiede agli utenti di immettere una password univoca, oltre a rispondere a cinque domande di sicurezza personali.
Sembra buono, giusto? Tranne che United Airlines chiede ai propri clienti di scegliere una password forte e unica e di rispondere alle loro domande utilizzando una serie preordinata di risposte. Proprio così: risposte preordinate. Ad esempio, se scegli la domanda “In quale mese è il compleanno dei tuoi migliori amici,” i tuoi potenziali aggressori hanno - hai indovinato - solo dodici risposte per sfondare. Tempi duri.
La ragione è unita “la maggior parte dei problemi di sicurezza che i nostri clienti devono affrontare possono essere ricondotti a virus informatici che registrano la digitazione e l'utilizzo di risposte predefinite protegge da questo tipo di intrusione.”
Il ricercatore della sicurezza Brian Krebs ha parlato direttamente con il direttore dell'intelligence della sicurezza informatica di United Airlines, Benjamin Vaughn. Vaughn ha detto la compagnia “stava randomizzando le domande per confondere i programmi bot che cercano di automatizzare l'invio delle risposte e che le domande di sicurezza che hanno risposto erroneamente sarebbero state "bloccate" e non chieste più.”
"Le domande di sicurezza sono il modo meno sicuro per assicurare qualsiasi cosa." Rik Ferguson @TrendMicro # AISA2016
- Tracey Spicer (@TraceySpicer), 19 ottobre 2016
Oltre a ciò, Vaughn ha confermato a Krebs che più tentativi infruttuosi avrebbero portato a un account bloccato. Di conseguenza, l'utente deve comunicare direttamente con United Airlines per sbloccare il proprio account.
Saggezza convenzionale
United Airlines ha identificato una vulnerabilità di sicurezza, ma la risposta non risolve completamente il problema. Come abbiamo visto, l'unico modo veramente sicuro per rispondere a una domanda di sicurezza è, proprio come una password, fornendo qualcosa di veramente unico e casuale. Questo nella speranza che i potenziali hacker saranno frustrati dalla complessità e passare al prossimo account.
La scoperta che il pubblico in generale soffre della stanchezza della sicurezza è importante perché ha implicazioni sul posto di lavoro e nella vita quotidiana delle persone. È fondamentale perché così tante persone fanno una banca online e dal momento che l'assistenza sanitaria e altre preziose informazioni vengono trasferite su Internet.
Se le persone non possono usare la sicurezza, non lo faranno, e quindi noi e la nostra nazione non saremo sicuri.
- Psicologo cognitivo e Fatica di sicurezza co-autore, Brian Stanton
Purtroppo, l'affaticamento della sicurezza è un problema molto reale. Gli utenti sono sempre più stanchi. Le violazioni della sicurezza e le reimpostazioni di password forzate sono ora così comuni, molti utenti ignorano semplicemente gli avvisi. Questo affaticamento porta a comportamenti utente rischiosi sia a casa che sul posto di lavoro. Consigliamo:
- Automatizzare - Prendi il controllo della tua sicurezza e automatizza le scansioni, i backup Do not Pay Up - How To Beat Ransomware! Non pagare - How To Beat Ransomware! Provate a immaginare se qualcuno si è presentato a casa vostra e ha detto: "Ehi, in casa ci sono topi di cui non sapevate, dateci $ 100 e ce ne sbarazzeremo". Questo è il Ransomware ... Leggi altro e altro ancora.
- Gestione delle password - Le soluzioni per la gestione delle password disponibili in LastPass Master Le tue password per sempre con la sicurezza di Lastpass Sfida le tue password per sempre con la sfida di sicurezza di Lastpass Trascorriamo così tanto tempo online, con così tanti account, che ricordare le password può essere davvero difficile. Preoccupato per i rischi? Scopri come utilizzare la Sfida di sicurezza di LastPass per migliorare l'igiene della sicurezza. Leggi di più o KeyPass, ed entrambi si prendono cura delle tue domande di sicurezza.
- Assumere la proprietà - La tua sicurezza dei dati è sotto la tua responsabilità. Abbiamo grandi aspettative delle istituzioni che detengono i nostri dati, e giustamente. Detto questo, se non imponi forti misure di sicurezza a casa, condividerai parte della colpa.
Abbiamo scritto molto sul superamento dell'affaticamento della sicurezza 3 modi per battere l'affaticamento della sicurezza e rimanere al sicuro online 3 modi per battere l'affaticamento della sicurezza e rimanere al sicuro La stanchezza della sicurezza online - la stanchezza a gestire la sicurezza online - è reale e sta facendo molta gente meno sicuro. Ecco tre cose che puoi fare per vincere l'affaticamento della sicurezza e mantenerti al sicuro. Leggi di più . Dagli una lettura e riprendi il controllo delle tue domande di sicurezza!
Come rispondi alle tue domande di sicurezza? Hai colpito il punto debole? O usi un'app per la gestione delle password? Fateci sapere i vostri suggerimenti sulla domanda di sicurezza qui sotto!
Scopri di più su: Password.