"Секретные" вопросы, на которые пользователи отвечают, когда хотят восстановить пароль от почты, не защищают от злоумышленников – их очень легко подобрать, говорится в результатах исследования кембриджского ученого Джозефа Бонно. Как показал эксперимент, путем подбора ответов на вспомогательные вопросы можно взломать каждый 80-ый аккаунт.
В ходе эксперимента было проанализировано 270 миллионов аккаунтов в Facebook. В результате выяснилось, что если кто-то хочет взломать почтовый аккаунт другого человека путем подбора ответов на вопрос, ему вполне может хватить нескольких часов для поиска соответствующей информации. И это при условии, что, как правило, почтовая система безопасности предоставляет три попытки ответить на вопрос – а затем временно блокирует аккаунт.
Информация, которую пользователи сообщают в качестве ответов на вспомогательные вопросы во время регистрации аккаунтов, может быть публичной и широко известной – включая девичью фамилию матери или ее второе имя (такие данные в некоторых случаях можно легко найти в Google). Кроме того, пользователи часто не задумываются о том, что подобрать ответ на их вопрос можно просто наугад.
Например, многим кажется хорошим и очень личным вопросом "фамилия первой учительницы", и злоумышленник действительно может не знать ответа. Однако, если фамилия первой учительницы – миссис Смит, то ее можно подобрать, даже не зная правильного ответа, так как в мире живет далеко не одна преподавательница младших классов, которую так зовут.
По словам Бонно, исследователи даже не предполагали, что результаты будут такими грустными. А если учесть, что систему вопросов используют даже банки и другие серьезные учреждения, и к почтовым адресам, как правило, привязаны самые разные сервисы, можно представить себе масштабы бедствия.
©