※ 引述《cc9i (正直与善良)》之铭言:
: 1.媒体来源:
: iThome
: 2.完整新闻标题:
: Google研究:网站常用的安全通关问题机制,不够安全可靠!
: 3.完整新闻内文:
:
: Google研究指出,一些网站用来帮助使用者恢复帐号的安全通关问题是一种相当不可靠
: 的安全机制,因为答案不是他人很容易猜出来,就是使用者自己想不起来。Google虽然
: 也采用这项机制,但绝不会当作主要的方法。
: Google公布研究指出,一些网站用来帮助使用者恢复帐号的安全通关问题是一种相当
: 不可靠的安全机制,因为答案不是他人很容易猜出来,就是使用者自己想不起来。而
: Google虽然也采用这项机制,但绝不会当作帮助使用者取回帐号的主要方法。
: 网站常会要求用户在设定密码时再提供一组安全通关问题,像是“你第一只宠物的
: 名字”、“你最喜欢的食物”或“母亲娘家的姓”的答案,以便帮助使用者恢复密码。
: 为了解这些问题的安全程度,Google反入侵研究小组研究人员深入分析Google服务中
: 数亿组安全通关问题及答案,并在WWW 2015会议公布研究结果。
: 研究显示,利用这些问题作为密码回复的协助机制,其安全性和效果都不尽理想,因为
: 答案不是太好猜,就是太难记,或是两者皆是。
: 其中有些答案很容易搜集,或在某些文化中很好猜。例如骇客有19.7%的机会一次就
: 猜对英语系用户最喜欢的食物是披萨。如果可以猜10次,攻击者猜对韩国用户出生地
: 的机率为39%,43%的机会猜对他们最喜欢的食物,24%机会猜对阿拉伯人“第一个老师
: 的名字”,猜对西班牙语使用者“你老爸的中间名”的比率则是21%。而像电话号码或
: 最常坐的航班班次等看似很安全的问题,结果是37%的人提供假答案而弄巧成拙的反让
: 答案变得比较好猜测。
:
: 另一方面,还有些题目实在过于困难,让使用者自己也记不住答案,像是借书证号码
: 或是最常坐的航班班次,用户记得起来的比例只有22%及9%。研究人员发现,40%的英语系
: 美国Google用户在需要时想不起与自身秘密有关的通关答案,而这些人有超过80%可能借由
: 短信,近75%的人用电子邮件重设密码。Google指出,对英语系美国Google用户来说,像
: “父亲的中间名”是答案较好记也好用的问题,答对率有76%。但看似比较安全的“你的
: 第一支手机号码”答对率只有55%。
: Google并指出,两组安全通关问题的设计虽然更安全,但即使是“出生地”及“父亲的
: 中间名”这种容易的问题,人们同时答对两题的比例却也是大幅下降,因此这并不是好
: 方法。
: Google表示,安全通关问题一向是网站用来验证及回复使用者帐号的主要方法,但这次
: 的研究发现,让网站和使用者都必需重新思考它的重要性。Google也强调Google长年来
: 只在文字短信或备份电子邮件回复无效时,才会使用安全通关问题的机制,绝不会单独
: 用它来证明帐号所有权。Google也建议网站管理员应同时使用其他验证方法,像是以简
: 讯或次要电子邮件寄送备份码,以确保安全性及使用者经验。(编译/林妍溱)
: 4.完整新闻连结 (或短网址):
: http://www.ithome.com.tw/news/96108
这东西只要思考翻转,先准备答案再选题目,其实又好记又安全
举例:
小时候曾与人打架,小屁孩争到最后居然把对方踢下楼梯,至今印象深刻
把整个事件浓缩成“踢楼梯”三字,就成了我的答案
这时候再选择问题“最爱吃的食物”、“最好的朋友”随便选什么都行,反正不重要
完成
这种设计方式的好处
1.专属深刻的个人回忆,难忘(好记),知情者少(安全)
2.答案本身只对你有意义,在其他人眼中则无意义(安全),更别说被猜到
(打架、下楼梯、小屁孩,这才是有意义的词“踢楼梯”什么鬼XD)
3.题目与答案根本无关联性(安全),要猜难上加难
4.一两个回忆替换,就可以方便万用(好记)
如果这样还被破,大概从一开始就被后门或侧录了,不在讨论范围
没想到我也会在八卦版发文的一天