Reklame

Når vi tilmelder os en ny onlinetjeneste, bliver vi altid bedt om at oprette et kodeord. Dette sikrer øjeblikkeligt den nye konto. Hvis du er fornuftig, vælger du en lang, helt tilfældig streng, eller lad en kodeordadministrationsapp udføre arbejdet Den komplette guide til forenkling og sikring af dit liv med LastPass og XmarksMens skyen betyder, at du nemt kan få adgang til dine vigtige oplysninger, uanset hvor du er, betyder det også, at du har en masse adgangskoder at holde styr på. Derfor blev LastPass oprettet. Læs mere for dig. Næste i sekvensen kommer sikkerhedsspørgsmål.

Disse spørgsmål beder normalt om din mors pigenavn, navnet på din folkeskole, navnet på dit første kæledyr og så videre. Sikkerhedsspørgsmålene, der er designet til at holde vores konti sikre mod hackere, skulle fungere som en ekstra forsvarslinje.

Hvordan besvarer du disse spørgsmål? Fortæller du sandheden, hele sandheden og intet andet end sandheden? Desværre kan din sandhed skabe en uventet chink i din online rustning. Lad os se på nøjagtigt, hvordan du har det bør besvare disse spørgsmål.

instagram viewer

En beskyttende barriere

Adgangskodetips er uden tvivl nyttige. Et nyttigt tip vil blive vist, hvis du glemmer din Windows-adgangskode. Og dette er kun efter et enkelt mislykket forsøg. I tilfælde af Windows-adgangskode skal dit tip opdatere din hukommelse. Det minder dig om at bruge et tip, du har valgt, så du kan være så kryptisk eller åben som du føler.

Sikkerhedsspørgsmål er forskellige. Vi står regelmæssigt over for de velkendte spørgsmålskombinationer, jeg nævnte ovenfor, og giver gerne nøjagtige svar. Sikkerhedsspørgsmål præsenteres som en ekstra forsvarslinje. Du skal dog overveje den relative lethed ved at få nogle af svarene i dagens ultraforbundne samfund.

Sikkerhedsforskere gentager regelmæssigt sikkerhedsspørgsmål som glatte Sådan oprettes et sikkerhedsspørgsmål, som ingen andre kan gætteI de seneste uger har jeg skrevet meget om, hvordan man kan gøre online-konti genindvindelige. En typisk sikkerhedsindstilling er at oprette et sikkerhedsspørgsmål. Selvom dette potentielt giver en hurtig og nem måde at ... Læs mere . Kan vi have tillid til en sikkerhedsforanstaltning, hvis svar så let kan opdages?

Jeg laver det forkert?

Angribere bytter på de lette spørgsmål Sådan finder du & undgår 10 af de mest lumskende hackingsteknikkerHackere bliver snedigere, og mange af deres teknikker og angreb bliver ofte upåagtede af selv erfarne brugere. Her er 10 af de mest lumske hacking-teknikker, der skal undgås. Læs mere - farver, pigenavne, første kæledyr - fordi de er let tilgængeligt via konti på sociale medier Sådan beskytter du dig mod disse 8 Social Engineering angrebHvilke socialtekniske teknikker ville en hacker bruge, og hvordan ville du beskytte dig selv mod dem? Lad os se på nogle af de mest almindelige angrebsmetoder. Læs mere . Hvis din konto bruger ekstremt specifikke spørgsmål og svar, kan en angriber eliminere andre potentielle adgangskoder.

Hvis sikkerhedsspørgsmålet f.eks. Var "Hvor har du købt din første bil?" angriberen kan straks se bort fra andre, lettere svar.

Jeg er sikker på, at du allerede har kvistet den åbenlyse løsning på dette sikkerhedsproblem. Hvis angriberen leder efter et svar, der direkte relaterer til dig, hvorfor ikke bruge noget helt andet?

  • Hvad er din mors pigenavn? fa1c0npunc4
  • Hvor mødte du din kone? b1cycl3tyr3
  • Hvad var navnet på dit første kæledyr? n0str0d4mu5

Okay, det er forfærdelige eksempler, men du får fat på min drift. Hvis svaret er a) uklar og b) bruger tilfældige tegn, vil du straks indstil sikkerhedslinjen for dine konti, der er lidt højere Har du taget disse 5 første trin for at sikre dine konti online?Det er overraskende, hvor mange mennesker ignorerer disse grundlæggende elementer i at sikre dig selv online. Disse fem websteder og værktøjer gør online sikkerhed til en lettere opgave. Læs mere .

Og det vil gøre mig sikker?

Safer, ven, men ikke helt sikkert.

I 2015 ser du Google offentliggjort et interessant dokument, der undersøger de erfaringer, de har lært om sikkerhedsspørgsmål. Ved hjælp af deres næsten uovertrufne datasæt til at analysere de hemmelige spørgsmål, der blev givet af deres monumentale brugerbase, forsøgte de at forstå, hvor effektivt dette ekstra sikkerhedslag er.

Googles hemmelige spørgsmål Infografisk kodestykke
Billedkredit: Google Blog

Vores analyse bekræfter, at hemmelige spørgsmål generelt tilbyder et sikkerhedsniveau, der er langt lavere end brugervalgte adgangskoder. Det viser sig at være endnu lavere, end fuldmagter som den reelle fordeling af efternavne i befolkningen skulle indikere.

Overraskende fandt vi, at en betydelig årsag til denne usikkerhed er, at brugere ofte ikke svarer sandt. En brugerundersøgelse, vi udførte, afslørede, at en betydelig del af brugerne (37%), der indrømmede at give falske svar, gjorde det i et forsøg på at gøre dem "sværere at gætte", selv om denne adfærd samlet set havde den modsatte effekt, da folk "hærder" deres svar på en forudsigelig måde.

Googles sikkerhedssvar Forkert svar-graf
Billedkredit: Forskning hos Google

Hvorfor forsøger vi at lyve, men gør det så dårligt? Som du kan se i ovenstående diagram, giver de fleste af de adspurgte falske svar med den overbevisning, at det vil øge deres sikkerhed. Vi kan derefter antage, at offentligheden (om end et lille øjebliksbillede af en enorm database) forstår, at sikkerhedsspørgsmålene kan og vil blive brugt imod dem.

Google-forskerteam konkluderer i sidste ende, at sikkerhedsspørgsmål enten er noget sikkert eller let at huske, men den gyldne kombination er sjældent at finde. Derfor "mens Google foretrækker gendannelse af SMS og e-mail, er ingen mekanismer perfekt."

Et godt eksempel

Desværre afviste Google at tilbyde den rigtige størrelse på den database, der blev brugt til undersøgelsen. De bekræftede imidlertid, at “de betragtede data indeholder hundreder af millioner af datapunkter og hver det analyserede spørgsmål havde over 1 million svar. ” Betydelige tal under hensyntagen til deres estimerede bruger-base.

I 2016 gennemførte United Airlines deres nye, opdaterede sikkerhedsplan for sine kundekonti. Det gamle system, der var afhængig af 4-cifrede PIN-koder, blev med rette betragtet som uegnet til konti, der potentielt indeholdt hundreder af tusinder af dollars med hyppige flyve miles. Det opdaterede system kræver, at brugerne indtaster en unik adgangskode samt besvarer fem personlige sikkerhedsspørgsmål.

Lyder godt, ikke? Undtagen United Airlines beder deres kunder om at vælge en stærk, unik adgangskode og besvare deres spørgsmål ved hjælp af et forudbestemt sæt af svar. Det er rigtigt: forudbestemte svar. Hvis du for eksempel vælger spørgsmålet "I hvilken måned er din bedste venner fødselsdag", har dine efterladte angribere - du gætte det - blot tolv svar til kamp igennem. Kæmpe tider.

United begrunder, at "størstedelen af ​​sikkerhedsspørgsmål, som vores kunder står over for, kan spores til computervirus, der registrerer indtastning, og ved hjælp af foruddefinerede svar beskytter mod denne type indtrængen."

Sikkerhedsforsker Brian Krebs talte direkte til United Airlines direktør for IT-sikkerhedsintelligens Benjamin Vaughn. Vaughn sagde, at virksomheden "randomiserede spørgsmålene for at forvirre bot-programmer, der søger at automatisere indsendelse af svar, og at sikkerhedsspørgsmål besvaret forkert ville være 'låst' og ikke stillet igen."

"Sikkerhedsspørgsmål er den mindst sikre måde at sikre noget på." Rik Ferguson @TrendMicro# AISA2016

- Tracey Spicer (@TraceySpicer) 19. oktober 2016

Ud over dette bekræftede Vaughn overfor Krebs, at flere mislykkede forsøg ville resultere i en låst konto. Derfor skal brugeren direkte kommunikere med United Airlines for at låse op for deres konto.

Konventionel visdom

United Airlines identificerede en sikkerhedssårbarhed, men deres svar løste ikke helt problemet. Som vi har set, er den eneste virkelig sikre måde at besvare et sikkerhedsspørgsmål på, ligesom et kodeord, ved at give noget virkelig unikt og tilfældigt. Dette i håb om, at potentielle hackere vil blive frustrerede over kompleksiteten, og gå videre til den næste konto.

Opdagelsen af, at offentligheden lider af sikkerhedstræthed er vigtig, fordi det har følger på arbejdspladsen og i folks hverdag. Det er kritisk, fordi så mange mennesker banker online, og da sundhedsvæsenet og anden værdifuld information flyttes til internettet.

Hvis folk ikke kan bruge sikkerhed, vil de ikke, og så er vi og vores nation ikke sikre.

- Kognitiv psykolog og Sikkerhed træthed medforfatter, Brian Stanton

Desværre er sikkerhedstræthed et meget reelt problem. Brugere bliver mere og mere trætte. Sikkerhedsbrud og nulstillede nulstillede adgangskoder er nu så almindelige, at mange brugere blot ignorerer advarsler. Denne træthed fører til risikabel brugeradfærd både hjemme og på arbejdspladsen. Vi foreslår:

  • AutomatisereTag kontrol over din sikkerhed og automatiser scanninger, sikkerhedskopier Betal ikke - Hvordan man slår Ransomware!Forestil dig, hvis nogen dukkede op lige uden for døren og sagde: "Hej, der er mus i dit hus, som du ikke vidste om. Giv os 100 $, så slipper vi af med dem. "Dette er Ransomware ... Læs mere og mere.
  • AdgangskodehåndteringAdgangskodestyringsløsninger tilgængelige i LastPass Master dine adgangskoder for godt med Lastpass 'sikkerhedsudfordringVi bruger så meget tid online, med så mange konti, at det kan være virkelig svært at huske adgangskoder. Bekymret for risikoen? Find ud af, hvordan du bruger LastPass 'sikkerhedsudfordring til at forbedre din sikkerhedshygiejne. Læs mere eller KeyPass, og de tager begge hånd om dine sikkerhedsspørgsmål også.
  • Tage ejerskab - Din datasikkerhed er dit ansvar. Vi har store forventninger til, at institutionerne opbevarer vores data, og med rette. Når det er sagt, hvis du ikke indfører stærke sikkerhedsforanstaltninger derhjemme, vil du dele en del af skylden.

Vi har skrevet omfattende om at overvinde sikkerheds træthed 3 måder at slå sikkerhedstræthed på og forblive sikre onlineSikkerhedstræthed - en trætthed til at håndtere onlinesikkerhed - er reel, og det gør mange mennesker mindre sikre. Her er tre ting, du kan gøre for at slå sikkerhedsudmattelse og holde dig sikker. Læs mere . Giv det en læsning, og tag kontrol over dine sikkerhedsspørgsmål tilbage!

Hvordan besvarer du dine sikkerhedsspørgsmål? Har du ramt det søde sted? Eller bruger du en app til adgangsadministration? Fortæl os dine tip om sikkerhedspørgsmål nedenfor!

Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskrivning med digital kunstpraksis, der er pilleret ud fra bjergene i Devon, samt over et årti med professionel skriftlig erfaring. Han nyder rigelige mængder te.