楼主:
cc9i (正直与善良)
2015-05-24 19:10:491.媒体来源:
iThome
2.完整新闻标题:
Google研究:网站常用的安全通关问题机制,不够安全可靠!
3.完整新闻内文:
Google研究指出,一些网站用来帮助使用者恢复帐号的安全通关问题是一种相当不可靠
的安全机制,因为答案不是他人很容易猜出来,就是使用者自己想不起来。Google虽然
也采用这项机制,但绝不会当作主要的方法。
Google公布研究指出,一些网站用来帮助使用者恢复帐号的安全通关问题是一种相当
不可靠的安全机制,因为答案不是他人很容易猜出来,就是使用者自己想不起来。而
Google虽然也采用这项机制,但绝不会当作帮助使用者取回帐号的主要方法。
网站常会要求用户在设定密码时再提供一组安全通关问题,像是“你第一只宠物的
名字”、“你最喜欢的食物”或“母亲娘家的姓”的答案,以便帮助使用者恢复密码。
为了解这些问题的安全程度,Google反入侵研究小组研究人员深入分析Google服务中
数亿组安全通关问题及答案,并在WWW 2015会议公布研究结果。
研究显示,利用这些问题作为密码回复的协助机制,其安全性和效果都不尽理想,因为
答案不是太好猜,就是太难记,或是两者皆是。
其中有些答案很容易搜集,或在某些文化中很好猜。例如骇客有19.7%的机会一次就
猜对英语系用户最喜欢的食物是披萨。如果可以猜10次,攻击者猜对韩国用户出生地
的机率为39%,43%的机会猜对他们最喜欢的食物,24%机会猜对阿拉伯人“第一个老师
的名字”,猜对西班牙语使用者“你老爸的中间名”的比率则是21%。而像电话号码或
最常坐的航班班次等看似很安全的问题,结果是37%的人提供假答案而弄巧成拙的反让
答案变得比较好猜测。
另一方面,还有些题目实在过于困难,让使用者自己也记不住答案,像是借书证号码
或是最常坐的航班班次,用户记得起来的比例只有22%及9%。研究人员发现,40%的英语系
美国Google用户在需要时想不起与自身秘密有关的通关答案,而这些人有超过80%可能借由
短信,近75%的人用电子邮件重设密码。Google指出,对英语系美国Google用户来说,像
“父亲的中间名”是答案较好记也好用的问题,答对率有76%。但看似比较安全的“你的
第一支手机号码”答对率只有55%。
Google并指出,两组安全通关问题的设计虽然更安全,但即使是“出生地”及“父亲的
中间名”这种容易的问题,人们同时答对两题的比例却也是大幅下降,因此这并不是好
方法。
Google表示,安全通关问题一向是网站用来验证及回复使用者帐号的主要方法,但这次
的研究发现,让网站和使用者都必需重新思考它的重要性。Google也强调Google长年来
只在文字短信或备份电子邮件回复无效时,才会使用安全通关问题的机制,绝不会单独
用它来证明帐号所有权。Google也建议网站管理员应同时使用其他验证方法,像是以简
讯或次要电子邮件寄送备份码,以确保安全性及使用者经验。(编译/林妍溱)
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/96108
作者:
xzcb2008 (éžå¸¸æ£®77牛)
2015-05-24 19:11:00Pizza
作者:
tudou5566 (tudou5566)
2015-05-24 19:12:00干脆全部用手机验证好了 不学学淘宝吗?
作者:
tchialen (艾妈 挖爱哩)
2015-05-24 19:13:00google maps搜寻玉山 不是台湾玉山
作者:
selfhu (水管爆了)
2015-05-24 19:13:00lag
作者: aynmeow (只有我跟喵喵) 2015-05-24 19:13:00
ヽ( ・∀・)ノ阿拉伯人不就是莫罕默德
作者:
snes9xw (小包薯条)
2015-05-24 19:13:00真的吗 我试看看 ********
作者: aynmeow (只有我跟喵喵) 2015-05-24 19:14:00
屁咧最好这么聪明 ********
作者: grandzxcv (frogero) 2015-05-24 19:14:00
电脑提示食物你就真设定食物?也太狗了吧
作者: asd456fgh778 ( ) 2015-05-24 19:14:00
***********
作者:
ange09 (玖)
2015-05-24 19:15:00我试试 yknoNo3562
作者: newewew (你今天快乐吗) 2015-05-24 19:15:00
真的假的 我试试 ********
作者:
L0v35 (是零ä¸æ˜¯æ)
2015-05-24 19:15:00干 种族歧视喔XDDDDDDDDDDDDDDDDD
作者:
r98192 (雅特)
2015-05-24 19:15:00********
作者: jahfone (小泽) 2015-05-24 19:16:00
azznnasd
作者:
udm 2015-05-24 19:16:00我的密码是 URstupid
作者: traskeristic (特拉斯克) 2015-05-24 19:17:00
********
作者:
SuperUp (( ̄▽ ̄#)﹏﹏)
2015-05-24 19:17:00用宠物丫 选个地球上跟本不存在的生物 慢慢猜
作者:
zz45698 (我)
2015-05-24 19:17:00我试试噢 ************真的欸
作者:
ppder (屁彼得)
2015-05-24 19:18:00**********
作者: PttTime 2015-05-24 19:19:00
%%%%%%%%
作者: grandzxcv (frogero) 2015-05-24 19:20:00
对宅宅来说根本最安全机制,只要设定我老婆就好
我国小读哪里 这问题我居然回答不出来..害我不能登入
作者: woo5068 (Valero) 2015-05-24 19:21:00
******
还好我都用“*^O^*520煞气A卍⊙_⊙”连自己都记不清处的密码,都记在本子( ̄▽ ̄)
作者:
h73o1012 (KMT LIKE S hit face)
2015-05-24 19:24:00*****##
作者:
olmtw (支持htc,支持台湾货)
2015-05-24 19:25:0028fickx
作者: vvar (vv欸阿) 2015-05-24 19:29:00
玩多久了
作者: lsgqlsgq (lsgqlsgq) 2015-05-24 19:38:00
google不早就废掉安全问题了,现在应该都没的设了
Pneumonoultramicroscopicsilicovolcanoconiosis干 明明密码就没有隐藏 骗人啊!! 叭叭叭叭的!!
作者: kbpoop (poogyfine) 2015-05-24 19:42:00
试试看 uare42689point2
作者:
barlin (barlinckamc)
2015-05-24 19:45:00七码以上都可以走开了=W=
作者:
yumyun (马路)
2015-05-24 20:16:00“嘿 那你喜欢吃什么”“你再问我要禁止你访问24小时囉”