Jak miało na imię Twoje pierwsze zwierzę?
Jaka jest Twoja ulubiona potrawa?
Jak brzmiało panieńskie nazwisko Twojej matki?
Co wspólnego mają ze sobą te pozornie przypadkowe pytania? Wszystkie są przykładami często używanych pytań zabezpieczających, na które na pewno zdarzyło nam się już odpowiadać. Wiele internetowych serwisów korzysta z tych pytań, gdy zapominamy hasła dostępu do swojego konta. Używa się ich również jako dodatkowego zabezpieczenia przeciwko podejrzanym logowaniom.
Niestety, mimo powszechnego stosowania pytań zabezpieczających, ich efektywność i rzeczywista ochrona nie zostały dotąd wystarczająco sprawdzone. Google przeanalizował miliony poufnych pytań i odpowiedzi wykorzystywanych w procesie odzyskiwania dostępu do konta Google. Następnie sprawdził prawdopodobieństwo odgadnięcia tych odpowiedzi przez hakerów.
Swoje spostrzeżenia zawarł w dokumencie zaprezentowanym ostatnio na konferencji WWW 2015. Doprowadziły go one do wniosku, że poufne pytania nie są wystarczająco niezawodne, aby mogły być używane jako samodzielny mechanizm odzyskiwania haseł do internetowych kont. Są one obarczone podstawową wadą: odpowiedzi na nie są albo bezpieczne, albo proste do zapamiętania, jednak rzadko spełniają oba warunki jednocześnie.
Proste odpowiedzi nie są bezpieczne
Nie jest zaskoczeniem, że łatwe do zapamiętania odpowiedzi są mniej bezpieczne. Zazwyczaj zawierają powszechnie znane albo dostępne dla każdego informacje lub też są jedną z niewielu możliwych odpowiedzi w danym kontekście kulturowym (np. popularne nazwiska w danym kraju).
Poniżej kilka konkretnych przykładów z badań Google’a:
- Haker dokonujący jednej próby ataku na konta anglojęzycznych użytkowników miałby 19,7% szans na odgadnięcie odpowiedzi na pytanie “Jaka jest twoja ulubiona potrawa?” (hasłem tym jest “pizza”).
- Haker dokonujący 10 prób ataku na konta arabskojęzycznych użytkowników miałby niemal 24% szans na odgadnięcie odpowiedzi na pytanie “Jak nazywał się Twój pierwszy nauczyciel?”
- Haker dokonujący 10 prób ataku na konta hiszpańskojęzycznych użytkowników miałby 21% szans na odgadnięcie odpowiedzi na pytanie “Jakie jest drugie imię twojego ojca?”
- Haker dokonujący 10 prób ataku na konta koreańskojęzycznych użytkowników miałby 39% szans na odgadnięcie odpowiedzi na pytanie “W jakim mieście się urodziłeś?” oraz 43% szans na odgadnięcie ulubionego dania
Okazuje się również, że wielu użytkowników ma identyczne odpowiedzi na poufne pytania uznawane powszechnie za bezpieczne np. “Jaki jest twój numer telefonu?” albo “Jaki numer ma twoja karta stałego pasażera?”. Google odkrył również, że 37% osób celowo wprowadza błędne odpowiedzi na pytania, uznając że w ten sposób będą one trudniejsze do odgadnięcia. Jednak taka strategia zawodzi, ponieważ najczęściej wpisywane są te same błędne odpowiedzi. Wówczas prawdopodobieństwo dokonania ataku zwiększa się.
Trudne odpowiedzi nie są użyteczne
To oczywiste, że możemy nie pamiętać, gdzie wasza mama chodziła do szkoły podstawowej albo jaki jest numer Waszej karty bibliotecznej. Poufne pytania, które są skomplikowane, są jednocześnie trudne w użyciu. Tutaj kilka przykładów z badań:
- 40% anglojęzycznych użytkowników z USA nie potrafiło przypomnieć sobie odpowiedzi na pytanie zabezpieczające. W międzyczasie ci sami użytkownicy potrafili sobie przypomnieć kody weryfikacyjne do zmiany hasła przesyłane do nich przez SMS (w 80% przypadków) i przez e-mail (75% przypadków)
- Niektóre z pytań uznawane za potencjalnie bezpieczne np. “Jaki jest numer twojej karty bibliotecznej?” i “Jaki numer ma twoja karta stałego pasażera?”, miały dość niski współczynnik przywołania, odpowiednio 22% oraz 9%
- Wśród anglojęzycznych użytkowników z USA proste pytanie “Jakie jest drugie imię twojego ojca?” miało współczynnik przywołania 76%, podczas gdy na potencjalnie bezpieczniejsze pytanie “Jaki był twój pierwszy numer telefonu?”, prawidłowo odpowiedziało zaledwie 55% użytkowników
Może warto zwiększyć liczbę pytań zabezpieczających?
Oczywiście trudniej podać właściwą odpowiedź na dwa lub więcej pytania niż tylko na jedno. Niemniej dodawanie kolejnych pytań nie zawsze jest rozwiązaniem: szanse na odzyskanie w ten sposób dostępu do konta znacznie spadają. Przygotowano jeszcze jedną analizę, żeby zilustrować ten problem (w rzeczywistości jest tak, że Google nie stosuje wielu pytań zabezpieczających).
Według informacji Google’a, “najprostsze” pytanie i odpowiedź to: “W jakim mieście się urodziłeś?” – użytkownicy podają je bezbłędnie w 79% przypadków. Kolejnym przykładem jest “Jakie jest drugie imię twojego ojca?”, podawane bezbłędnie przez 74% użytkowników. Gdyby haker miał 10 prób przechwycenia odpowiedzi na te pytania, jego szanse na odgadnięcie ich wynosiłyby odpowiednio: 6,9% i 14,6%.
Jednak sytuacja komplikuje się, kiedy użytkownicy muszą odpowiedzieć na oba powyższe pytania jednocześnie. Wówczas rozbieżność między bezpieczeństwem a użytecznością pytań zabezpieczających jest jeszcze większa. Wprawdzie prawdopodobieństwo, że haker odgadnie obie odpowiedzi w 10 próbach jest równe tylko 1%, ale za to niepokojąco niski jest odsetek samych użytkowników, którzy pamiętają odpowiedzi na oba pytania – to zaledwie 59%. W rezultacie, większa liczba pytań zabezpieczających utrudnia użytkownikom odzyskiwanie dostępu do swoich kont, więc nie jest korzystnym rozwiązaniem.