연구 : 비밀 질문 비밀 번호를 보호하지 말 것

귀하의 배우자가 귀하의 전자 메일 암호를 모르더라도 그 정보를 얻을 수있는 충분한 정보를 알고있을 것입니다.

계정 비밀번호를 재설정하는 확인 메커니즘으로 소위 "비밀 질문". 그러나 이번 주 캘리포니아 오클랜드에서 개최 된 IEEE 보안 및 개인 정보 보호 심포지엄에서 발표 될 새로운 연구에 따르면, 계정 소유자를 알고있는 다른 사람들이 쉽게 대답 할 수 있다고합니다.

다른 경우 낯선 사람들이 성공적으로 공화당 부통령 후보 인 사라 페일 린 (Sarah Palin)이 야후 계정을 어떻게 잃어 버렸는지에 대한 몇 가지 질문에 대한 답변. 계정을 기권 한 혐의로 기소 된 대학생 데이비드 커넬 (David Kernell)은 페린의 계정에 대한 보안 질문에 대한 정답을 찾기 위해 온라인 조사 시간이 1 시간도 채 걸리지 않았다고 말했다.

[추가 정보: 귀하의 컴퓨터에서 멀웨어를 제거하는 방법 이 연구는 2008 년 3 월 야후, 구글, 마이크로 소프트, AOL이 사용한 질문을 조사했다. 한 연구에서 두 연구자는 전자 메일 계정 소유자가 두 사람을한데 묶어 서로 신뢰하지 않을 것이라고 말했다. 암호가있는 사람. 계정 소유자의 비밀 질문을 받으면 다른 사람이 17 %의 시간을 바로 잡았습니다.

서로 신뢰하는 두 사람 중 한 파트너가 28 %의 시간 동안 Hotmail 계정에 대한 정답을 제공 할 수있었습니다 그 조사는 말했다.

구글이 현재 사용하고있는 사용자가 작성한 질문에도 불구하고 완전한 낯선 사람이 5 번 시도에서 15 %의 응답을 추측 할 수 있었다.

문제의 일부는 질문은 너무 순하고 인터넷 검색의 비트는 더 타겟이 명확한 추측을 가능하게하는 데 도움이되는 좋아하는 TV 쇼, 음료수, 맥주, 배우 등의 목록을 가져올 수 있습니다. 또한, "우리 팀의 결과는 오늘날의 개인적인 질문이 적절한 인증 기밀을 유지한다는 확신을주지 못한다"고 연구진은 지적했다. "추측하기 어려운 사람들은 처음에는 사용자가 선택할 확률이 낮고, 선택하면 기억 될 가능성이 적습니다."야후는 한 때 기억에 남을만한 질문을 제시했지만 연구 참가자들은 6 개월 이내에 답변을 잊어 버렸습니다. 저자들은 야후가 2 월에 9 건의 개인 인증 질문을 모두 대체했다고 썼다.

이 문제는 쉽게 해결되지 않았다. 많은 다른 웹 사이트는 사람을 확인하기 위해 사람의 계정으로 전자 메일을 보내는 것에 의존하지만 전자 메일 계정 자체를 확인해야하므로 문제가됩니다.

통계적 추측 공격을 차단할 수있는 한 가지 가능한 솔루션 그들의 인기에 따라 잘못된 반응에 벌점을 줄 것입니다. 저자가 작성한 페널티의 크기는 합법적 인 사용자가 올바른 대답을 얻기 전에 여러 가지 일반적인 응답으로 응답 할 확률에 달려 있습니다.

이 연구의 데이터에 따르면 한 사람이 질문에 대한 두 가지 인기있는 응답을 잘못 추측하면, 그들은 세 번째 질문을 거의 얻지 않습니다.

또한 저자는 "좋아하는 도시는 무엇입니까?"와 같이 통계적으로 10 % 이상 추측 할 수있는 질문을 삭제하는 것이 좋습니다. 그들은 다른 참가자가 연구에서 제공 한 5 가지 가장 인기있는 답변 중 하나 인 경우 통계적으로 추측 할 만하다고 대답했습니다.

다른 인증 메커니즘은 전자 메일 공급자가 보낸 사람의 SMS (Short Message Service) 휴대 전화. 그러나 휴대 전화가 도난 당하고 분실되어 보안 문제가 제기되고 있으며 SMS 전송에는 보안 문제가있다.

이 연구는 Stuart Schechter와 A.J. Microsoft Research의 Berheim Brush와 Carnegie Mellon University의 Serge Egelman.