※ 引述《cc9i (正直與善良)》之銘言:
: 1.媒體來源:
: iThome
: 2.完整新聞標題:
: Google研究:網站常用的安全通關問題機制,不夠安全可靠!
: 3.完整新聞內文:
:
: Google研究指出,一些網站用來幫助使用者恢復帳號的安全通關問題是一種相當不可靠
: 的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。Google雖然
: 也採用這項機制,但絕不會當作主要的方法。
: Google公佈研究指出,一些網站用來幫助使用者恢復帳號的安全通關問題是一種相當
: 不可靠的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。而
: Google雖然也採用這項機制,但絕不會當作幫助使用者取回帳號的主要方法。
: 網站常會要求用戶在設定密碼時再提供一組安全通關問題,像是「你第一隻寵物的
: 名字」、「你最喜歡的食物」或「母親娘家的姓」的答案,以便幫助使用者恢復密碼。
: 為了解這些問題的安全程度,Google反入侵研究小組研究人員深入分析Google服務中
: 數億組安全通關問題及答案,並在WWW 2015會議公佈研究結果。
: 研究顯示,利用這些問題作為密碼回復的協助機制,其安全性和效果都不盡理想,因為
: 答案不是太好猜,就是太難記,或是兩者皆是。
: 其中有些答案很容易搜集,或在某些文化中很好猜。例如駭客有19.7%的機會一次就
: 猜對英語系用戶最喜歡的食物是披薩。如果可以猜10次,攻擊者猜對韓國用戶出生地
: 的機率為39%,43%的機會猜對他們最喜歡的食物,24%機會猜對阿拉伯人「第一個老師
: 的名字」,猜對西班牙語使用者「你老爸的中間名」的比率則是21%。而像電話號碼或
: 最常坐的航班班次等看似很安全的問題,結果是37%的人提供假答案而弄巧成拙的反讓
: 答案變得比較好猜測。
:
: 另一方面,還有些題目實在過於困難,讓使用者自己也記不住答案,像是借書證號碼
: 或是最常坐的航班班次,用戶記得起來的比例只有22%及9%。研究人員發現,40%的英語系
: 美國Google用戶在需要時想不起與自身秘密有關的通關答案,而這些人有超過80%可能藉由
: 簡訊,近75%的人用電子郵件重設密碼。Google指出,對英語系美國Google用戶來說,像
: 「父親的中間名」是答案較好記也好用的問題,答對率有76%。但看似比較安全的「你的
: 第一支手機號碼」答對率只有55%。
: Google並指出,兩組安全通關問題的設計雖然更安全,但即使是「出生地」及「父親的
: 中間名」這種容易的問題,人們同時答對兩題的比例卻也是大幅下降,因此這並不是好
: 方法。
: Google表示,安全通關問題一向是網站用來驗證及回復使用者帳號的主要方法,但這次
: 的研究發現,讓網站和使用者都必需重新思考它的重要性。Google也強調Google長年來
: 只在文字簡訊或備份電子郵件回復無效時,才會使用安全通關問題的機制,絕不會單獨
: 用它來證明帳號所有權。Google也建議網站管理員應同時使用其他驗證方法,像是以簡
: 訊或次要電子郵件寄送備份碼,以確保安全性及使用者經驗。(編譯/林妍溱)
: 4.完整新聞連結 (或短網址):
: http://www.ithome.com.tw/news/96108
這東西只要思考翻轉,先準備答案再選題目,其實又好記又安全
舉例:
小時候曾與人打架,小屁孩爭到最後居然把對方踢下樓梯,至今印象深刻
把整個事件濃縮成「踢樓梯」三字,就成了我的答案
這時候再選擇問題「最愛吃的食物」、「最好的朋友」隨便選什麼都行,反正不重要
完成
這種設計方式的好處
1.專屬深刻的個人回憶,難忘(好記),知情者少(安全)
2.答案本身只對你有意義,在其他人眼中則無意義(安全),更別說被猜到
(打架、下樓梯、小屁孩,這才是有意義的詞「踢樓梯」什麼鬼XD)
3.題目與答案根本無關聯性(安全),要猜難上加難
4.一兩個回憶替換,就可以方便萬用(好記)
如果這樣還被破,大概從一開始就被後門或側錄了,不在討論範圍
沒想到我也會在八卦版發文的一天