מדוע אתה עונה על שאלות אבטחת סיסמאות שגויות

פרסומת

כאשר אנו נרשמים לשירות מקוון חדש, אנו מתבקשים תמיד ליצור סיסמא. זה מאבטח מיד את החשבון החדש. אם אתה הגיוני, בחר במיתר ארוך ואקראי לחלוטין, או תן ליישום לניהול סיסמאות לבצע את העבודה המדריך השלם לפישוט ואבטחת חייך באמצעות LastPass ו- Xmarksאמנם הענן אומר שאתה יכול לגשת בקלות למידע החשוב שלך בכל מקום שאתה נמצא, אבל זה גם אומר שיש לך הרבה סיסמאות לעקוב אחריהם. לכן נוצר LastPass. קרא עוד בשבילך. הבא ברצף מגיע שאלות אבטחה.

שאלות אלה בדרך כלל מבקשות את שם הנעורים של אמך, את שם בית הספר היסודי שלך, את שם חיית המחמד הראשונה שלך וכן הלאה. שאלות האבטחה אמורות לשמש כקו הגנה נוסף שנועד לשמור על חשבונותינו מפני האקרים.

איך אתה עונה על השאלות האלה? האם אתה אומר את האמת, את כל האמת ושום דבר מלבד האמת? למרבה הצער, האמת שלך עשויה ליצור סנטר בלתי צפוי בשריון המקוון שלך. בואו נסתכל בדיוק איך אתה צריך לענות על השאלות האלה.

מחסום מגן

רמזים לסיסמא הם ללא ספק מועילים. רמז מועיל יוצג אם תשכח את סיסמת Windows שלך. וזה רק לאחר ניסיון כושל אחד. במקרה של סיסמת Windows, הרמז שלך אמור לרענן את הזיכרון שלך. זה מזכיר לך להשתמש ברמז שבחרת, כך שתוכל להיות קריפי או פתוח כמו שאתה מרגיש.

שאלות אבטחה שונות. אנו מתמודדים באופן קבוע עם צירופי השאלה המוכרים שציינתי לעיל, ומספקים ברצון תשובות מדויקות. שאלות אבטחה מוצגות כקו הגנה נוסף. עם זאת, עליך לקחת בחשבון את הקלות היחסית להשיג חלק מהתשובות בחברה המחוברת כיום.

חוקרי אבטחה באופן שוטף לזלזל בשאלות אבטחה כלא-מיותרות כיצד ליצור שאלת אבטחה שאיש לא יכול לנחשבשבועות האחרונים כתבתי המון כיצד ניתן להחלים בחשבונות מקוונים. אפשרות אבטחה אופיינית היא הגדרת שאלת אבטחה. למרות שזה עשוי לספק דרך מהירה וקלה ... קרא עוד . האם אנו יכולים לאמין באמצעי ביטחון שתשובותיו ניתן לגלות כל כך בקלות?

אני עושה את זה לא נכון?

התוקפים טורפים את השאלות הקלות כיצד לאתר & להימנע מעשר מטכניקות ההאקינג המגוחכות ביותרהאקרים מתחילים להתגנב, ורבים מהטכניקות וההתקפות שלהם לרוב לא מצליחים לשים לב אפילו למשתמשים מנוסים. להלן עשר מטכניקות הפריצה המגניבות ביותר שיש להימנע מהן. קרא עוד - צבעים, שמות עלמות, חיות מחמד ראשונות - כי הם ניתן להשיג בקלות באמצעות חשבונות מדיה חברתית כיצד להגן על עצמך מפני 8 התקפות הנדסה חברתית אלהבאילו טכניקות הנדסה חברתית היה משתמש האקר וכיצד הייתם מגנים על עצמכם מפניהם? בואו נסתכל על כמה משיטות ההתקפה הנפוצות ביותר. קרא עוד . כדי להחמיר את המצב, אם חשבונך משתמש בשאלות ותשובות ספציפיות במיוחד, תוקף יכול לחסל סיסמאות פוטנציאליות אחרות.

לדוגמה, אם שאלת האבטחה הייתה "איפה רכשת את המכונית הראשונה שלך?" התוקף יכול להתעלם מייד מתשובות אחרות וקלות יותר.

אני בטוח שכבר עברת את הפיתרון המובהק לבעיית האבטחה הזו. אם התוקף מחפש תשובה שקשורה אליך ישירות, מדוע לא להשתמש במשהו אחר לגמרי?

• מה שם הנעורים של אמא שלך? fa1c0npunc4
• איפה פגשת את בת הזוג שלך? b1cycl3tyr3
• מה היה השם של חיית המחמד הראשונה שלך? n0str0d4mu5

אוקיי, אלה דוגמאות נוראיות, אבל אתה תופס את הסחף שלי. אם התשובה היא א) סתומה וב) משתמשת בתווים אקראיים, תעשה זאת מייד הגדר את סרגל האבטחה של חשבונותיך כך גבוה יותר האם עשית את חמשת הצעדים הראשונים לאבטחת חשבונותיך באופן מקוון?מפתיע כמה אנשים מתעלמים מהיסודות האלה של אבטחת עצמכם ברשת. חמשת האתרים והכלים הללו הופכים את האבטחה המקוונת למטלה קלה יותר. קרא עוד .

וזה יביא אותי לביטחון?

בטוח יותר, חבר, אך לא לגמרי בטוח.

אתה מבין, בשנת 2015, גוגל פרסמה מסמך מעניין הבוחן את הלקחים שלמדו בשאלות אבטחה. בעזרת מערך הנתונים הכמעט חסר תחרות שלהם כדי לנתח את השאלות הסודיות שנמסרו על ידי בסיס המשתמשים המונומנטלי שלהם, הם ביקשו להבין עד כמה יעיל שכבת האבטחה הנוספת הזו.

הניתוח שלנו מאשר כי שאלות סודיות בדרך כלל מציעות רמת אבטחה נמוכה בהרבה מהסיסמאות שנבחרו על ידי המשתמש. מתברר שהוא נמוך עוד יותר מאשר מצביעים על ידי פרוקסים כמו התפלגות אמיתית של שמות משפחה באוכלוסייה.

באופן מפתיע גילינו כי גורם משמעותי לחוסר ביטחון זה הוא שמשתמשים לעתים קרובות אינם עונים כנה. סקר משתמשים שערכנו גילה כי חלק ניכר מהמשתמשים (37%) שהודו במתן תשובות מזויפות עשו זאת בניסיון הפוך אותם ל"קשים יותר לנחש "אם כי באופן מצטבר התנהגות זו השפעה הפוכה כאשר אנשים" מקשיחים "את תשובותיהם באופן צפוי.

מדוע אנחנו מנסים לשקר, אבל אז עושים את זה כל כך רע? כפי שניתן לראות בתרשים לעיל, מרבית הנשאלים מספקים תשובות שגויות מתוך אמונה שהיא תגדיל את ביטחונם. אז נניח שהציבור הרחב (גם אם מדובר בתצלום מזערורי של מסד נתונים עצום) אכן מבין ששאלות האבטחה יכולות וישמשו נגדן.

צוות המחקר של גוגל מסיק בסופו של דבר ששאלות אבטחה הן מעט בטוחות או קלות לזכור, אך נדיר למצוא את השילוב הזהוב. לפיכך, "בעוד שגוגל מעדיפה שחזור SMS ודוא"ל, אף מנגנון אינו מושלם."

דוגמה ראשונה

לרוע המזל, גוגל סירבה להציע את הגודל האמיתי של בסיס הנתונים המשמש למחקר. עם זאת, הם אישרו כי "הנתונים שנחשבו מכילים מאות מיליוני נקודות נתונים וכל אחד מהם לשאלה שניתחה היו למעלה ממיליון תשובות. " נתונים מהותיים, בהתחשב באומדן בסיס משתמש.

בשנת 2016, יונייטד איירליינס פרסמה את תוכנית האבטחה החדשה והמעודכנת שלהם לחשבונות הלקוחות שלה. המערכת הישנה שהסתמכה על מספרי PIN של 4 ספרות נחשבה בצדק כבלתי מתאימה לחשבונות שעלולים להכיל מאות אלפי דולרים של מיילים טסים תכופים. המערכת המעודכנת דורשת מהמשתמשים להזין סיסמא ייחודית, כמו גם לענות על חמש שאלות אבטחה אישיות.

נשמע טוב, נכון? פרט ליונייטד איירליינס מבקשים מלקוחותיהם לבחור סיסמה חזקה וייחודית, ולענות על שאלותיהם באמצעות קבוצת תשובות מראש. זה נכון: תשובות מראש מראש. לדוגמה, אם תבחר בשאלה "באיזה חודש יום הולדתך הטוב ביותר לחברים שלך", היו לתוקפים החזקים שלך - ניחשתם נכון - שתים עשרה תשובות בלבד לקרב. זמנים קשים.

הידיעה טוענת כי "רוב סוגיות האבטחה שלקוחותינו מתמודדים ניתנות ליישום לווירוסים ממוחשבים שמתעדים הקלדה, ושימוש בתשובות מוגדרות מראש מגן מפני פריצה מסוג זה."

חוקר האבטחה בריאן קרבס דיבר ישירות למנהל מודיעין האבטחה של חברת יונייטד איירליינס, בנימין ווהן ווהן אמר כי החברה "אקצרה את השאלות כדי לתבלבל תוכניות בוט המבקשות להפוך את התוכנות לאוטומטיות הגשת תשובות, וששאלות אבטחה שנענו בצורה לא נכונה היו 'נעולות' ולא נשאלות שוב."

"שאלות אבטחה הן הדרך הכי פחות בטוחה לאבטח כל דבר." ריק פרגוסון @TrendMicro# AISA2016

- טרייסי ספייסר (@TraceySpicer) 19 באוקטובר 2016

בנוסף לכך, ווהן אישר בפני קרבס כי מספר ניסיונות לא מוצלחים יביא לחשבון נעול. כתוצאה מכך, על המשתמש לתקשר ישירות עם יונייטד איירליינס כדי לבטל את נעילת חשבונו.

חוכמה קונבנציונלית

יונייטד איירליינס זיהתה פגיעות אבטחה, אך תשובתם לא פיתרה את הבעיה לחלוטין. כפי שראינו, הדרך הבטוחה היחידה לענות על שאלת אבטחה היא, ממש כמו סיסמא, על ידי מתן משהו ייחודי ואקראי באמת. זאת בתקווה שהאקרים פוטנציאליים יתסכלו מהמורכבות, ויעברו לחשבון הבא.

הממצא כי הציבור הרחב סובל מעייפות בטחונית הוא חשוב מכיוון שיש לו השלכות במקום העבודה ובחיי היומיום של האנשים. זה קריטי מכיוון שכל כך הרבה אנשים בנקים ברשת, ומכיוון שמוצרי בריאות ומידע חשוב אחר מועברים לאינטרנט.

אם אנשים לא יכולים להשתמש בביטחון, הם לא הולכים, ואז אנחנו ואומתנו לא נהיה בטוחים.

- פסיכולוג קוגניטיבי עייפות ביטחונית מחבר משותף, בריאן סטנטון

אבוי, עייפות ביטחונית היא בעיה ממשית. משתמשים עייפים יותר ויותר. הפרות אבטחה ואיפוס סיסמאות מאולצות נפוצות כעת כל כך, שמשתמשים רבים פשוט מתעלמים מהתראות. עייפות זו מובילה להתנהגות משתמשים מסוכנת הן בבית והן במקום העבודה. אנו מציעים:

• אוטומציה — קח שליטה על האבטחה שלך, ואוטומטי סריקות, גיבויים אל תשלם - איך לנצח Ransomware!תאר לעצמך אם מישהו היה מופיע על מפתן דלתך ואמר, "היי, יש עכברים בבית שלך שלא ידעת עליהם. תן לנו 100 $ ונפטר מהם. "זה Ransomware ... קרא עוד ועוד.
• ניהול סיסמאות — פתרונות לניהול סיסמאות זמינים ב- LastPass שלוט בסיסמאות שלך לתמיד עם אתגר האבטחה של Lastpassאנו מבלים כל כך הרבה זמן באינטרנט, עם כל כך הרבה חשבונות, שזכירת סיסמאות יכולה להיות ממש קשה. מודאגים מהסיכונים? גלה כיצד להשתמש באתגר האבטחה של LastPass כדי לשפר את היגיינת האבטחה שלך. קרא עוד או KeyPass, ושניהם דואגים גם לשאלות האבטחה שלך.
• לקחת בעלות - אבטחת המידע שלך היא באחריותך. יש לנו ציפיות גבוהות מהמוסדות המחזיקים בנתונים שלנו, ובצדק. עם זאת, אם לא תנקוט אמצעי ביטחון חזקים בבית, תשתף חלק מהאשמה.

יש לנו נכתב בהרחבה על התגברות על עייפות ביטחונית 3 דרכים להכות עייפות ביטחונית ולהישאר בטוחים באינטרנטעייפות ביטחונית - עייפות להתמודדות עם אבטחה מקוונת - היא אמיתית והיא הופכת אנשים רבים פחות בטוחים. להלן שלושה דברים שאתה יכול לעשות כדי לנצח את העייפות הביטחונית ולשמור על עצמך. קרא עוד . קרא אותו וקח שוב את השליטה בשאלות האבטחה שלך!

איך אתה עונה על שאלות האבטחה שלך? האם פגעת במקום המתוק? או שאתה משתמש באפליקציה לניהול סיסמאות? ספר לנו טיפים בנושא שאלת האבטחה שלך למטה!