Waarom u wachtwoorden beantwoordt Beveiligingsvragen verkeerd
Wanneer we ons aanmelden voor een nieuwe online service, wordt ons altijd gevraagd een wachtwoord te maken. Hiermee wordt het nieuwe account onmiddellijk beveiligd. Als u verstandig bent, kiest u een lange, volledig willekeurige reeks, of laat een app voor wachtwoordbeheer het werk doen De complete handleiding voor het vereenvoudigen en beveiligen van uw leven met LastPass en Xmarks De complete handleiding voor het vereenvoudigen en beveiligen van uw leven met LastPass en Xmarks Hoewel de cloud betekent dat u eenvoudig toegang hebt tot uw belangrijke informatie, waar u ook bent, betekent dit ook dat u veel wachtwoorden bij de hand hebt om bij te houden. Dat is waarom LastPass is gemaakt. Meer lezen voor jou. De volgende in de reeks komt beveiligingsvragen.
Deze vragen vragen meestal naar de meisjesnaam van uw moeder, de naam van uw basisschool, de naam van uw eerste huisdier, enzovoort. Ontworpen om onze accounts te beschermen tegen potentiële hackers, zouden de beveiligingsvragen moeten fungeren als een extra verdedigingslinie.
Hoe beantwoord je die vragen? Vertel je de waarheid, de hele waarheid en niets anders dan de waarheid? Helaas kan uw waarheidsliefde een onverwachte scheur in uw online harnas creëren. Laten we eens kijken hoe u precies bent moeten beantwoord die vragen.
Een beschermende barrière
Wachtwoordhints zijn ongetwijfeld nuttig. Een nuttige hint wordt weergegeven als u uw Windows-wachtwoord bent vergeten. En dit is na slechts één mislukte poging. In het geval van het Windows-wachtwoord moet uw hint uw geheugen verversen. Het herinnert je eraan met een hint die je hebt geselecteerd, dus je kunt zo cryptisch of open zijn als je je voelt.
Beveiligingsvragen zijn anders. We worden regelmatig geconfronteerd met de vertrouwde vraagcombinaties die ik hierboven noemde en geven graag antwoorden. Beveiligingsvragen worden gepresenteerd als een extra verdedigingslinie. U moet echter rekening houden met het relatieve gemak van het verkrijgen van enkele van de antwoorden in de ultrageconnecteerde samenleving van vandaag.
Beveiligingsonderzoekers bespotten regelmatig beveiligingsvragen als laks. Hoe maak je een beveiligingsvraag die niemand anders kan raden hoe je een beveiligingsvraag kunt stellen die niemand anders kan raden De afgelopen weken heb ik veel geschreven over het herstelbaar maken van online accounts. Een standaard beveiligingsoptie is het instellen van een beveiligingsvraag. Hoewel dit mogelijk een snelle en gemakkelijke manier is om ... Lees meer. Kunnen we vertrouwen hebben in een veiligheidsmaatregel waarvan de antwoorden zo gemakkelijk kunnen worden ontdekt?
Ik doe het verkeerd?
Aanvallers prooi op de makkelijke vragen Hoe te voorkomen en te voorkomen 10 van de meest sluipende hacktechnieken Hoe te voorkomen en te voorkomen 10 van de meest sluipende hacktechnieken Hackers worden geniepiger en veel van hun technieken en aanvallen worden vaak zelfs door ervaren gebruikers opgemerkt. Hier zijn 10 van de meest sluipende hacktechnieken die je moet vermijden. Lees meer - kleuren, meisjesnamen, eerste huisdieren - omdat ze gemakkelijk te verkrijgen zijn via sociale media-accounts Hoe u uzelf kunt beschermen tegen deze 8 Aanvallen tegen sociale technologie Hoe u uzelf kunt beschermen tegen deze 8 Aanvallen tegen sociale technologie Welke technieken voor sociale ontwikkeling zou een hacker gebruiken en hoe zou je jezelf tegen hen beschermen? Laten we een paar van de meest voorkomende aanvalsmethoden eens bekijken. Lees verder . Om het nog erger te maken, als uw account extreem specifieke vragen en antwoorden gebruikt, kan een aanvaller andere potentiële wachtwoorden verwijderen.
Bijvoorbeeld als de beveiligingsvraag was “Waar heb je je eerste auto gekocht??” de aanvaller kan onmiddellijk andere, gemakkelijkere antwoorden negeren.
Ik weet zeker dat je de voor de hand liggende oplossing voor dit beveiligingsprobleem al hebt uitgezet. Als de aanvaller op zoek is naar een antwoord dat rechtstreeks op jou van toepassing is, waarom niet iets heel anders gebruiken??
- Wat is de meisjesnaam van je moeder? fa1c0npunc4
- Waar heb je je echtgenoot ontmoet? b1cycl3tyr3
- Wat was de naam van je eerste huisdier? n0str0d4mu5
Oké, het zijn vreselijke voorbeelden, maar je begrijpt wat ik bedoel. Als het antwoord a) obscuur is en b) willekeurige tekens gebruikt, stelt u onmiddellijk de beveiligingsbalk van uw accounts hoger in. Hebt u deze 5 eerste stappen genomen om uw accounts online te beveiligen? Hebt u deze 5 eerste stappen genomen om uw accounts online te beveiligen? Het is verrassend hoeveel mensen deze basisbeginselen van online beveiliging van jezelf negeren. Deze vijf websites en tools maken online beveiliging een gemakkelijker karwei. Lees verder .
En dat zal me veilig maken?
veiliger, vriend, maar niet helemaal veilig.
U ziet dat Google in 2015 een interessant document heeft gepubliceerd waarin zij de lessen die zij hebben geleerd met betrekking tot beveiligingsvragen, heeft onderzocht. Met behulp van hun bijna ongeëvenaarde dataset om de geheime vragen van hun monumentale gebruikers te analyseren, probeerden ze te begrijpen hoe effectief deze extra beveiligingslaag is..
Onze analyse bevestigt dat geheime vragen over het algemeen een beveiligingsniveau bieden dat veel lager is dan door de gebruiker gekozen wachtwoorden. Het blijkt nog lager te zijn dan volmachten, zoals de echte verdeling van achternamen in de populatie zou aangeven.
Verrassend genoeg ontdekten we dat een belangrijke oorzaak van deze onzekerheid is dat gebruikers vaak geen waarheidsgetrouw antwoord geven. Uit een gebruikersenquête die we hebben uitgevoerd, bleek dat een aanzienlijk deel van de gebruikers (37%) die bekende valse antwoorden gaf, dit deed in een poging om ze te maken “moeilijker te raden” hoewel dit gedrag bij elkaar het tegenovergestelde effect had als mensen “verharden” hun antwoorden op een voorspelbare manier.
Waarom proberen we te liegen, maar doen dat dan zo erg? Zoals je kunt zien in de bovenstaande grafiek, geeft de meerderheid van de respondenten valse antwoorden met de overtuiging dat het hun veiligheid zal vergroten. We kunnen dan aannemen dat het grote publiek (zij het een klein momentopname van een enorme database) begrijpt dat de beveiligingsvragen kunnen en zullen worden gebruikt tegen hen.
Het Google-onderzoeksteam concludeert uiteindelijk dat beveiligingsvragen enigszins veilig of gemakkelijk te onthouden zijn, maar de gouden combinatie is zeldzaam om te vinden. Vandaar “terwijl Google de voorkeur geeft aan sms en e-mailherstel, geen enkel mechanisme is perfect.”
Een belangrijk voorbeeld
Helaas weigerde Google de ware grootte van de voor de studie gebruikte database aan te bieden. Ze bevestigden dat echter “de beschouwde gegevens bevatten honderden miljoenen datapunten en elke geanalyseerde vraag had meer dan 1 miljoen antwoorden.” Aanzienlijke cijfers, rekening houdend met hun geschatte gebruikersbestand.
In 2016 rolde United Airlines zijn nieuwe, bijgewerkte beveiligingsschema voor zijn klantenaccounts uit. Het oude systeem dat was gebaseerd op 4-cijferige pincodes, werd terecht ongeschikt geacht voor accounts die mogelijk honderdduizenden dollars aan frequent flyer-miles bevatten. Het bijgewerkte systeem vereist dat gebruikers een uniek wachtwoord invoeren en vijf persoonlijke beveiligingsvragen beantwoorden.
Klinkt goed, toch? Behalve dat United Airlines zijn klanten vraagt om een sterk, uniek wachtwoord te kiezen en hun vragen te beantwoorden met behulp van een reeks vooraf vastgestelde antwoorden. Dat klopt: vooraf bepaalde antwoorden. Bijvoorbeeld als u de vraag kiest “In welke maand zijn je beste vrienden jarig,” je potentiële aanvallers hebben - je raadt het al - maar twaalf antwoorden om door te vechten. Moeilijke tijden.
United reden dat “het merendeel van de beveiligingsproblemen waarmee onze klanten worden geconfronteerd, is te herleiden tot computervirussen die het typen registreren, en het gebruik van vooraf gedefinieerde antwoorden beschermt tegen dit soort inbraak.”
Beveiligingsonderzoeker Brian Krebs sprak direct met United Airlines-directeur van IT-beveiligingsinformatie Benjamin Vaughn. Vaughn zei het bedrijf “was het randomiseren van de vragen om botprogramma's te verwarren die de indiening van antwoorden proberen te automatiseren, en dat beveiligingsvragen die verkeerd werden beantwoord, zouden worden 'vergrendeld' en niet opnieuw worden gesteld.”
"Beveiliging vragen zijn de minst veilige manier om alles te beveiligen." Rik Ferguson @TrendMicro # AISA2016
- Tracey Spicer (@TraceySpicer) 19 oktober 2016
Evenals dit, bevestigde Vaughn aan Krebs dat meerdere mislukte pogingen zouden resulteren in een geblokkeerd account. Bijgevolg moet de gebruiker rechtstreeks communiceren met United Airlines om zijn account te ontgrendelen.
Conventionele wijsheid
United Airlines stelde een beveiligingsrisico vast, maar hun antwoord loste het probleem niet helemaal op. Zoals we hebben gezien, is de enige echt veilige manier om een beveiligingsvraag te beantwoorden, net als een wachtwoord, door iets echt unieks en willekeurigs te bieden. Dit in de hoop dat potentiële hackers gefrustreerd raken door de complexiteit en naar het volgende account gaan.
De bevinding dat het grote publiek aan beveiligingsmoeheid lijdt, is belangrijk omdat het gevolgen heeft op de werkplek en in het dagelijks leven van mensen. Het is van cruciaal belang omdat zoveel mensen online bankieren en omdat de gezondheidszorg en andere waardevolle informatie wordt verplaatst naar het internet.
Als mensen de veiligheid niet kunnen gebruiken, zullen ze dat niet doen, en dan zullen wij en onze natie niet veilig zijn.
- Cognitieve psycholoog en Beveiliging Vermoeidheid co-auteur, Brian Stanton
Helaas is veiligheidsmoeheid een heel reëel probleem. Gebruikers worden steeds moe. Beveiligingsinbreuken en gedwongen reset van wachtwoorden zijn nu zo gewoon, veel gebruikers negeren eenvoudig waarschuwingen. Deze vermoeidheid leidt tot risicovol gebruikersgedrag, zowel thuis als op de werkplek. Wij stellen voor:
- Automatiseer - Neem controle over uw veiligheid en automatiseer scans, back-ups Do not Pay Up - How To Beat Ransomware! Do not Pay Up - How To Beat Ransomware! Stelt u zich eens voor dat als er iemand op uw drempel kwam en zei: "Hé, er zijn muizen in uw huis waarvan u niet op de hoogte was. Geef ons $ 100 en we zullen ze kwijtraken." Dit is de Ransomware ... Lees meer en meer.
- Wachtwoordbeheer - Wachtwoordbeheeroplossingen beschikbaar in LastPass Beheers uw wachtwoorden voor het goede met de beveiligingsuitdaging van Lastpass Beheers uw wachtwoorden voor het goede met de beveiligingsuitdaging van Lastpass We besteden zoveel tijd online, met zo veel accounts, dat het onthouden van wachtwoorden erg moeilijk kan zijn. Bezorgd over de risico's? Ontdek hoe u LastPass 'Security Challenge kunt gebruiken om uw veiligheidshygiëne te verbeteren. Read More of KeyPass, en zij zorgen ook voor uw beveiligingsvragen.
- In eigendom nemen - Uw gegevensbeveiliging is uw verantwoordelijkheid. We hebben hoge verwachtingen van de instellingen die onze gegevens bijhouden, en terecht. Dat gezegd hebbende, als u thuis geen strenge beveiligingsmaatregelen oplegt, deelt u een deel van de schuld.
We hebben uitgebreid geschreven over het overwinnen van beveiligingsmoeheid 3 manieren om te verslaan Beveiliging Vermoeidheid en veilig blijven Online 3 manieren om beveiliging te verslaan Moeheid en veilig blijven Online beveiligingsmoeheid - een vermoeidheid om met online beveiliging om te gaan - is echt, en het maakt veel mensen minder veilig. Hier zijn drie dingen die je kunt doen om beveiligingsmoeheid te verslaan en jezelf veilig te houden. Lees verder . Geef het een leesbaar bericht en neem de controle over uw beveiligingsvragen over!
Hoe beantwoord je je beveiligingsvragen? Heb je de goede plek geraakt? Of gebruik je een app voor wachtwoordbeheer? Laat ons hieronder uw veiligheidsvraagtips weten!
Ontdek meer over: Wachtwoord.