מחקר: שאלות אבטחה? הצחקתם את ההאקרים
שאלות כמו "מהו עיר הולדתך" ודומות הן דרך נפוצה לוודא את זהותכם כדי לשחזר סיסמה שנשכחה ולהיכנס לחשבונות מקוונים כמייל. גוגל ואנשי סטנפורד בדקו ומצאו שהאקרים מנחשים את התשובות, המשתמשים שוכחים אותן ומדובר בפרצת אבטחה עצומה
- היערכות למתקפת סייבר? לא עניינם של המשקיעים
- בתי החולים הפכו למטרה מועדפת למתקפות סייבר
- העוקץ הדיגיטלי: חברת אבטחת מידע זייפה מתקפות סייבר
המחקר גילה שהשאלות בהן נעשה שימוש מאובטחות לרוב פחות מסיסמאות, ושיכולת המשתמשים להיזכר בתשובות במקרה הצורך נמוכה מאוד ויעילה הרבה פחות לעומת אמצעי שחזור סיסמה אחרים.
ממצאי המחקר הוצגו לאחרונה בוועידת ה-World Wide Web הבינלאומית ה-22, ופורסמו בחוברת שמסכמת את המחקרים שהוצגו בוועידה. הוא בוחן לעומק, תוך שימוש במידע הרב שאספה גוגל לאורך שנות פעילותה, את היעילות של שאלות אבטחה - אותן שאלות בסגנון "באיזה בית ספר יסודי למדת?", או "מה היה שם הנעורים של אמך?” שמשמשות לזיהוי המשתמש כחלק מהליך שחזור סיסמה.
ההאקרים מנחשים את התשובה
לדברי החוקרים, הממצאים שאספו מעלים בעיות קשות בשימוש בשאלות אבטחה. כך, למשל, נמצא שמשתמשים רבים עושים שימוש בתשובות דומות ומתקפות סטטיסטיות נגד שאלות אלו זוכות להצלחה רבה. ב-19.7% מהמקרים, תוקף הצליח לנחש בפעם הראשון מה הייתה התשובה של משתמשים דוברי אנגלית לשאלה "מה המזון האהוב עלייך". בקרב דוברי ספרדית, תוקף הצליח להשיב נכונה בניסיון הראשון על השאלה "מהו השם האמצעי של אביך" ב-3.8% מהמקרים, ובקרב דוברי קוריאנית מצליח תוקף להשיב נכונה בניסיון הראשון על השאלה "מהי עיר הולדתך” ב-39% מהמקרים.
שאלות שלכאורה מאובטחות יותר, כאלו שהשתשובות להן ייחודיות יותר, בפועל לא מאובטחות מאוד מכיוון שהמשתמשים מספקים להן תשובות מזויופות שבסופו של דבר דומות לתשובות מזויפות אחרות. כך, למשל, ב-4.2% מהמקרים ניתן לזהות בניסיון הראשון את התשובה הנכונה לשאלה"מה מספר מועדון הנוסע המתמיד שלך”, מכיוון שמשתמשים רבים לא מספקים את המספר האמיתי כתשובה.
בנוסף, בשעת האמת משתמשים גם מתקשים יותר להשיב על שאלות אלו. לשאלה "מהו השם האמצעי של אביך" יש שיעורי הצלחה של 76%, לשאלה "מהו מספר הטלפון הראשון שלך" 55%, ל"מהו מספר המנוי בספרייה" 22% ולשאלה "מהו מספר מועדון הנוסע המתמיד" רק 9% - דבר שמסביר למה משתשמים רבים בוחרים בתשובה מזויפת.
מהו הצבע החביב עליך?
גם בשאלות קלות יותר קשה להיזכר ככל שהזמן בין יצירת התשובה לצורך לספק אותו עולה. 74%מהמשתמשים זכרו את התשובה לשאלה "מהו המזון המזון אהוב עליך” בחודש שלאחר יצירתה, ואולם לאחר שלושה חודשים ירד השיעור ל-53% ואחרי שנה מרבית המשתמשים כבר לא זכרו את התשובה. בעיה זו מחריפה כשמדובר בשאלות קשות יותר.
לדברי החוקרים, שאלות אבטחה סובלות מכשלים רבים שמקלים על תוקפים לנצל אותן לרעה. פרט לכך שלרבות מהן יש תשובות משותפות או שניתן לנחש בקלות את התשובות להן (לשאלה "מי גיבור העל האהוב עלייך” יש מגוון מצומצם של תשובות אפשריות, ומרבית המשתמשים בחרו מתוך מספר אפשרויות מצוצמצם עוד יותר ומובן מאליו), תשובות ל-16% מהשאלות ניתן למצוא ברשתות חברתיות או במאגרי מידע פומביים. כך, לדוגמה את שם הנעורים של אימם של לפחות 30% מתושבי טקסס ניתן לאתר באמצעות תעודות לידה ונישואין, שזמינות לעיון ציבורי.
בנוסף, חוסר מודעות של המשתמשים לחשיבות של שאלות אבטחה מקל על תוקפים להוציא מהם את התשובות לשאלות אלו במתקפות של הנדסה חברתית. במחקר שנערך ב-2009 נמצא שבמתקפת פישינג 92% מהמשתמשים מסרו מידע שמאפשר לענות על שאלות אבטחה.
אז מה עושים?
לדברי החוקרים, במקום שאלות אבטחה עדיף להשתמש באמצעים אחרים בהליך שחזור סיסמה. אלו לא רק בטוחים יותר בהשוואה לשאלות אלא גם מספקים למשתמש תוצאות טובת יותר. שיעורי ההצלחה של שאלות אבטחה לא עומדים בממוצע על 40%. מנגד, הליך שחזור סיסמה שמבוסס על שליחת קוד חד פעמי ב-SMS נהנה משיעור הצלחה של 80.9%.