ä¸è¦å²ç¬æåçæ§
あなたの配偶者があなたの電子メールパスワードを知らない場合でも、彼または彼女は入手するための十分な情報を知っている可能性があります。
無料の電子メールプロバイダは、アカウントパスワードをリセットするための検証メカニズムとして、いわゆる「秘密の質問」があります。しかし、今週カリフォルニア州オークランドで開催されたIEEEのセキュリティとプライバシーに関するシンポジウムで発表された新しい調査によれば、アカウントの所有者を知っている他の人たちによって、その答えは容易に推測できます。
他のケースでは、共和党の副大統領候補であるサラ・ペイリン氏が自分のヤフーアカウントを掌握できなくなった経緯など、いくつかの質問に対する回答。アカウントを召喚したと非難された大学の学生、David Kernellは、オンラインで1時間未満のリサーチを行って、Palinのアカウントのセキュリティに関する質問に答えることに時間を要したと話している[
]。この調査では、2008年3月にYahoo、Google、Microsoft、AOLが使用した質問を調べた。ある試験では、電子メールのアカウント所有者が2人を一緒にペアにして、パスワードを持つ人。アカウント所有者の秘密の質問が提示されたとき、相手は17%の時間を正確に推測しました。お互いを信頼する2人のうち、1人のパートナーが、Hotmailアカウントの正解を28%
ユーザーが書いた質問(Googleが現在採用しているシステム)でも、完全な見知らぬ人は5回の試行で15%の答えを推測できるだろう。
問題の一部は質問は非常に控えめで、インターネット検索のビットが、よりターゲットを絞った推測を可能にするのに役立つ、お気に入りのテレビ番組、ソーダ、ビール、俳優などのリストを持ち出すことができる。また、地理的データは、「あなたの好きなスポーツチームは何か?」などの質問に役立ちます。
「私たちの結果は、今日の個人的な質問によって適切な認証秘密が得られるという自信を与えません。 「推測するのが難しいものは、最初にユーザーが選択する可能性が低く、選択すると記憶される可能性は低い」。Yahooは一度に一度に最も記憶に残る質問を提示したが研究の参加者は6ヶ月以内に自分の答えを忘れてしまった。著者らは、Yahooが2月に9件の個人認証質問のすべてを置き換えたと書いている。
問題の解決は容易ではない。多くの他のWebサイトは、個人を確認するために個人のアカウントに電子メールを送信することに依存していますが、電子メールアカウント自体を検証する必要があるため、問題があります。
統計的推測攻撃を回避する1つの解決策その人気に応じて間違った回答にペナルティを課すことになります。著者が書いたペナルティの大きさは、正当なユーザーが正しい回答を得る前に複数の一般的な回答を返す可能性に依存する。
この調査のデータによれば、質問に対する2つの一般的な回答を誤って推測すると
また、著者は、「あなたの好きな町は何ですか?」など、時間の10%以上を統計的に推測できる質問を排除することを推奨しています。彼らは、他の参加者が研究で提供した5つの最も人気のある回答のうちの1つであれば、統計的に推測可能な答えを定義した。
別の認証メカニズムは、電子メールプロバイダによって送信されたSMS(Short Message Service)携帯電話。しかし、これはまた、電話機が盗まれ、紛失し、SMSの送信にセキュリティ上の懸念があるため、セキュリティ上の疑問が生じている、と彼らは書いている。
この調査はStuart SchechterとA.J。マイクロソフトリサーチのBerheim Brush氏とカーネギーメロン大学のSerge Egelman氏