На самом деле Интернет знает о вас довольно много: девичью фамилию матери, любимое блюдо, вплоть до названия улицы, на которой вырос вам первый домашний питомец.
И, как полагает корпорация Google, опубликовавшая недавно новое исследование, существует большая вероятность того, что хакеры тоже могут довольно легко выяснить о вас все.
Секретные вопросы, на которые Google и многие другие компании спрашивают ответ в рамках процедуры восстановления доступа, рассматриваются как ИБ-экспертами, так и пользователями в больше степени как раздражающий фактор, нежели эффективная защита данных. Информацию, которая помогает ответить на эти вопросы, зачастую довольно легко найти через профили в соцсетях и на других ресурсах. А в некоторых случаях достаточно и просто догадки.
Исследователи Google представили отчет, который иллюстрирует, насколько прост этот процесс для злоумышленников, и, соответственно, насколько ограничены на самом деле возможности секретных вопросов. Например, в Google обнаружили, что в 19,7% случаев хакер может угадать любимое блюдо англоговорящих пользователей всего с одной попытки. А для атакующего, пытающегося взломать аккаунт пользователя из Кореи, в 43% случаев будет достаточно десяти попыток.
При подготовке отчета в Google проанализировали сотни миллионов секретных вопросов, на которые пользователи отвечали в ходе восстановления пароля. Вывод логичен: слишком простые вопросы не обеспечивают достаточной защиты, а слишком трудные бесполезны. Также эксперты обнаружили, что, даже если пользователи прилагают какие-либо усилия, чтобы сделать ответы не такими предсказуемыми, это не имеет значительного эффекта.
«Многие пользователи также предоставляют одинаковые ответы на секретные вопросы, которые, по идее, предлагают довольно высокий уровень безопасности, например, «Каков ваш номер телефона?» или «Каков номер вашей карты часто летающего пассажира?». Мы копнули чуть глубже, и выяснилось, что 37% пользователей намеренно предоставляют ложные ответы на свои вопросы, думая, что благодаря подобной тактике их будет труднее угадать.
Тем не менее, последствия бывают довольно неприятными: предоставляя одни и те же ложные ответы, пользователи на самом деле увеличивают вероятность того, что злоумышленник может взломать аккаунт», — отметили Эли Бурштейн (Elie Bursztein), возглавляющая исследовательскую группу по вопросам противодействия взломам в Google, и Илан Карон (Elan Caron), инженер-программист.
Согласно результатам исследования, 40% англоговорящих пользователей не могут вспомнить ответ на секретный вопрос, когда это необходимо для восстановления пароля. Стоит признать, что немногие люди могут похвалиться хорошей памятью на такие вещи, и усложнение процесса только усугубляет ситуацию.
«По нашим данным, самый простой для взлома секретный вопрос – это «В каком городе вы родились?». В 79% случаев пользователи смогли вспомнить правильный ответ. Второй пример простого вопроса – «Второе имя (middle name) вашего отца?», ответ на который был готов у 74% пользователей. Соответственно, при десяти попытках угадать ответ злоумышленнику удастся «взломать» этот бастион в 6,9% и 14,6% случае, соответственно», — указано в докладе Google.
«Но если пользователям необходимо ответь на оба этих вопроса сразу, разрыв между понятиями оптимальной простоты и достаточной безопасности выглядит резко увеличивается. Вероятность того, что злоумышленник может угадать ответы на оба вопроса с десяти раз, равна 1%, но пользователи тоже вспомнят оба ответа только в 59% случаев. Использование большего количества секретных вопросов – не лучшая идея; из-за этого многие столкнутся с проблемами при восстановлении доступа к своим аккаунтам». Некоторые веб-сервисы переходят на двухфакторную аутентификацию, в рамках которой система отправляет защищенные сообщения пользователям с одноразовым кодом. Это намного более простой и безопасный метод.
