Studie: Geheime Fragen schützen keine Passwörter

Auch wenn Ihr Ehepartner Ihr E-Mail-Passwort nicht kennt, kennt er oder sie wahrscheinlich genug Informationen, um es zu bekommen.

Kostenlose E-Mail-Anbieter oft anwesend eine sogenannte "geheime Frage" als Verifizierungsmechanismus zum Zurücksetzen eines Kontopassworts. Laut einer neuen Studie, die während des IEEE-Symposiums für Sicherheit und Datenschutz in Oakland, Kalifornien, veröffentlicht wird, ist die Antwort für andere Personen, die den Kontoinhaber kennen, leicht zu erraten.

In anderen Fällen können Fremde erfolgreich liefern Die Antworten auf einige Fragen, wie die republikanische Vizepräsidentschaftskandidatin Sarah Palin die Kontrolle über ihr Yahoo-Konto verlor. Der Student David Kernell, der beschuldigt wird, das Konto zu übernehmen, sagte, dass es weniger als eine Stunde Forschung im Internet erforderte, um die richtigen Antworten auf die Sicherheitsfragen für Palins Konto zu finden.

[Weitere Informationen: Wie man Malware von Ihrem Computer entfernt Windows PC]

Die Studie befasste sich mit den Fragen von Yahoo, Google, Microsoft und AOL im März 2008. In einem Test passten die Forscher zwei Personen zusammen, wobei der E-Mail-Kontoinhaber sagte, dass sie dem anderen nicht trauen würden Person mit ihrem Passwort. Bei der Vorlage der geheimen Frage des Kontoinhabers hat die andere Person 17 Prozent der Zeit richtig geraten.

Bei zwei Personen, die sich gegenseitig vertrauen, konnte ein Partner in 28 Prozent der Fälle die richtige Antwort für einen Hotmail-Account liefern, so die Studie.

Selbst bei Fragen, die von einem Benutzer geschrieben wurden - dem System, das Google jetzt einsetzt - könnte ein völlig Fremder die Antwort 15 Prozent der Zeit innerhalb von fünf Versuchen erraten.

Ein Teil des Problems ist das Die Fragen sind so langweilig, dass ein bisschen Internetsuche Listen von Lieblingsfernsehsendungen, Softdrinks, Bieren, Schauspielern usw. aufstellen kann, die dazu beitragen, gezielteres Raten zu ermöglichen. Geografische Daten helfen auch bei Fragen wie "Was ist dein liebstes Sportteam", heißt es in der Studie.

"Unsere Ergebnisse geben uns keine Sicherheit, dass die heutigen persönlichen Fragen eine angemessene Authentifizierung geheim halten", schreiben die Autoren. "Diejenigen, die schwer zu erraten sind, werden von Benutzern eher selten ausgewählt, und wenn sie ausgewählt werden, werden sie weniger in Erinnerung bleiben."

Obwohl Yahoo zu jener Zeit die denkwürdigsten Fragen stellte Die Teilnehmer der Studie haben ihre eigenen Antworten innerhalb von sechs Monaten vergessen. Die Autoren schrieben, dass Yahoo im Februar alle neun Fragen zur persönlichen Authentifizierung ersetzte.

Es gibt keine einfache Lösung für das Problem. Viele andere Websites hängen davon ab, eine E-Mail an das Konto einer Person zu senden, um eine Person zu verifizieren, aber da das E-Mail-Konto selbst verifiziert werden muss, stellt es ein Problem dar.

Eine mögliche Lösung zur Abwehr statistischer Ratenangriffe wäre es, falsche Antworten abhängig von ihrer Popularität zu bestrafen. Die Größe der Strafe, die die Autoren schreiben, hängt von der Wahrscheinlichkeit ab, dass der legitime Benutzer mit mehreren populären Antworten antwortet, bevor er die richtige bekommt.

Daten in der Studie legen nahe, dass eine Person zwei populäre Antworten für eine Frage falsch rät, sie bekommen selten eine dritte Frage richtig.

Außerdem empfehlen die Autoren, Fragen zu eliminieren, die mehr als 10 Prozent der Zeit statistisch zu erraten sind, wie zum Beispiel "Was ist deine Lieblingsstadt?" Sie definierten eine Antwort als statistisch erraten, wenn sie zu den fünf beliebtesten Antworten anderer Studienteilnehmer gehört.

Ein anderer Authentifizierungsmechanismus könnte ein SMS (Short Message Service) sein, der vom E-Mail-Anbieter an eine Person gesendet wird Mobiltelefon. Aber das stellt auch Sicherheitsfragen, da Telefone gestohlen werden und verloren, und SMS-Übertragung hat Sicherheitsbedenken, sie schrieben.

Die Studie wurde von Stuart Schechter und A.J. Berheim Brush von Microsoft Research und Serge Egelman von der Carnegie Mellon University.