Sokan emlékezhetnek még a Sarah Palin esetre, amelynek tulajdonképpen az volt a lényege, hogy ismert emberek nagyon rosszul teszik, ha olyan jelszó emlékeztető kérdést választanak, amire bárki tudhatja a választ, például kiguglizza vagy egyszerűen lenézi azt a Facebook-ról. Egy friss tanulmány most azt boncolgatja, hogy a jelszó emlékeztető kérdés önmagában alkalmazva úgy ahogy van elavult és ahogy a South Parkból kölcsönvett idézetet kissé elferdítjük: "használata semmilyen korosztálynak nem javasolt" :)
Nem csak az úgynevezett "celebek" problémája ez, hanem teljesen hétköznapi átlagemberek is sokszor annyi személyes információt megosztanak magukról, hogy simán fellelhető lehet a válaszhoz szükséges adat. A témában egy érdekes white paper jelent meg a Google részéről, amiben ennek a konstrukciónak a biztonságosságát "en bloc" kérdőjelezik meg, és nem is alaptalanul.
A "Secrets, Lies, and Account Recovery" beszédes című írásban megemlítik például, hogy mennyire silány és hamis biztonságérzetet ad az, ha például a születési helyünk a válasz. Gondoljunk bele, nálunk hányan születtek például Budapesten, de gond emellett az is, hogy az ilyen adat könnyen kitalálható.
Például a koreai anyanyelvűek között 10 találgatásos próbálkozásból 39%-ban sikerült megfejteni a helyes választ, persze amiatt is, hogy nem túl sok nagyváros neve merülhet fel ilyenkor.
Nyilván az is árnyalja a jelszóemlékeztető használatát, hogy sokan ahogy a jelszavukra sem emlékeznek egy idő után, úgy a jelszóemlékeztető kérdés-választ is totálisan elfelejtik. Egy hónappal később még 74% emlékszik, de három hónap után ez az arány már csak 50%. Az igazsághoz tartozik még, hogy ha az ilyen jelszóemlékeztető kérdés és válasz nem egy primitív és szűk előredefiniált elemekből álló legördülő lista (hol születtél, stb.), hanem ha szabadon definiálható, akkor akinek erre igénye van, az tud ezzel csinálni használható emlékeztetőt is, például ahol a kérdésnek és a válasznak szándékosan abszolút semmi köze nincsen egymáshoz, illetve szándékosan helyesírási hibás választ adunk meg.
Nyilván ez sem old meg mindent, hiszen elvileg jelszót is bármilyet választhatnának az átlag emberek, mégis az "admin", "password" és az "123456" nyeri minden évben a wrong password award-ot, a lustaság pedig sajnos gyakorta diadalt arat a józan ész és a biztonságtudatosság felett.
Vannak persze olyan esetek, amikor ha valaki személyesen ismeri az illetőt, akkor gonosz dolgokat művelhet és olyankor aztán tudnak érdekes dolgok történni. Például volt barátnő vagy vicceskedő munkatárs sok személyes infó birtokában jelszó resetet kér a nevünkben.
Tehát lényeg a lényeg, a jelszó elfejtésre bugyuta kérdés-válasz helyett sokkal inkább a password reset lehet a biztonságos gyógyír, míg az önálló jelszó emlékeztető konstrukció helyett/mellett pedig jobban járunk, ha kiegészítésképpen élünk például a kétfaktoros azonosítási lehetőséggel is, már ahol van ilyesmi.
pacagánycsök 2015.05.22. 19:45:38
szb9 2015.05.22. 23:05:03
különvélemény2 2015.05.23. 07:28:35
maxval bircaman felelős szerkesztő · http://bircahang.org 2015.05.23. 09:23:43