Warum beantworten Sie Passwort-Sicherheitsfragen falsch?
Wenn wir uns für einen neuen Onlinedienst anmelden, werden wir immer aufgefordert, ein Passwort zu erstellen. Damit ist das neue Konto sofort gesichert. Wenn Sie vernünftig sind, wählen Sie eine lange, vollständig zufällige Zeichenfolge oder lassen Sie eine Kennwortverwaltungs-App die Arbeit erledigen. Das vollständige Handbuch zur Vereinfachung und Sicherung Ihres Lebens mit LastPass und Xmarks Das vollständige Handbuch zur Vereinfachung und Sicherung Ihres Lebens mit LastPass und Xmarks Während die Cloud bedeutet, dass Sie von überall auf Ihre wichtigen Informationen zugreifen können, bedeutet dies auch, dass Sie über viele Passwörter verfügen, über die Sie den Überblick behalten können. Deshalb wurde LastPass erstellt. Lesen Sie mehr für Sie. Als nächstes kommen Sicherheitsfragen.
Bei diesen Fragen werden in der Regel nach dem Mädchennamen Ihrer Mutter, dem Namen Ihrer Grundschule, dem Namen Ihres ersten Haustiers usw. gefragt. Um die Sicherheit unserer Konten vor potenziellen Hackern zu schützen, sollten Sicherheitsfragen als zusätzliche Verteidigungslinie dienen.
Wie beantwortest du diese Fragen? Sagst du die Wahrheit, die ganze Wahrheit und nichts als die Wahrheit? Leider könnte Ihre Wahrhaftigkeit einen unerwarteten Riss in Ihrer Online-Rüstung verursachen. Schauen wir uns genau an wie Sie sollte Beantworten Sie diese Fragen.
Eine Schutzbarriere
Passwort-Hinweise sind zweifellos hilfreich. Ein hilfreicher Hinweis wird angezeigt, wenn Sie Ihr Windows-Kennwort vergessen. Und dies ist nur ein einziger fehlgeschlagener Versuch. Im Fall des Windows-Kennworts sollte Ihr Hinweis Ihr Gedächtnis auffrischen. Es erinnert Sie daran, einen von Ihnen ausgewählten Hinweis zu verwenden, damit Sie so kryptisch oder offen sein können, wie Sie sich fühlen.
Sicherheitsfragen sind unterschiedlich. Wir stellen uns regelmäßig den bekannten Fragekombinationen, die ich oben erwähnt habe, und geben gerne genaue Antworten. Sicherheitsfragen werden als zusätzliche Verteidigungslinie dargestellt. Sie sollten jedoch die relative Leichtigkeit in Betracht ziehen, einige Antworten in der heutigen ultra vernetzten Gesellschaft zu erhalten.
Sicherheitsforscher verurteilen die Sicherheitsfragen regelmäßig als wenig glanzvoll. Wie erstelle ich eine Sicherheitsfrage, die niemand sonst erraten kann, wie eine Sicherheitsfrage erstellt wird, die niemand anders erraten kann? In den letzten Wochen habe ich viel darüber geschrieben, wie Online-Konten wiederherstellbar sind. Eine typische Sicherheitsoption ist das Einrichten einer Sicherheitsfrage. Dies bietet möglicherweise eine schnelle und einfache Möglichkeit,… Lesen Sie mehr. Können wir Vertrauen in eine Sicherheitsmaßnahme haben, deren Antworten so schnell entdeckt werden können??
Ich mache es falsch?
Angreifer beklagen sich die einfachen Fragen Wie man 10 der heimtückischsten Hacking-Techniken erkennt und vermeidet Wie man 10 der heimtückischsten Hacking-Techniken erkennt und vermeidet Hacker werden hinterlistiger und viele ihrer Techniken und Angriffe werden selbst von erfahrenen Benutzern oft unbemerkt bleiben. Hier sind 10 der heimtückischsten Hacking-Techniken zu vermeiden. Lesen Sie mehr - Farben, Mädchennamen, erste Haustiere - weil sie leicht über Social-Media-Konten erhältlich sind Wie Sie sich vor diesen 8 Social-Engineering-Angriffen schützen Wie Sie sich vor diesen 8 Social-Engineering-Angriffen schützen Welche Social-Engineering-Techniken würden ein Hacker verwenden und Wie würden Sie sich vor ihnen schützen? Schauen wir uns einige der häufigsten Angriffsmethoden an. Weiterlesen . Wenn Ihr Konto äußerst spezifische Fragen und Antworten verwendet, kann ein Angreifer andere potenzielle Kennwörter entfernen.
Zum Beispiel, wenn die Sicherheitsfrage war “Wo hast du dein erstes Auto gekauft??” Der Angreifer kann andere, einfachere Antworten sofort ignorieren.
Ich bin sicher, Sie haben bereits die offensichtliche Lösung für dieses Sicherheitsproblem gefunden. Wenn der Angreifer nach einer Antwort sucht, die sich direkt auf Sie bezieht, verwenden Sie etwas völlig anderes?
- Wie lautet der Mädchenname Ihrer Mutter? fa1c0npunc4
- Wo hast du deine Frau getroffen? b1cycl3tyr3
- Was war der Name deines ersten Haustieres? n0str0d4mu5
Okay, es sind schreckliche Beispiele, aber du bekommst meinen Drift. Wenn die Antwort a) undeutlich ist und b) zufällige Zeichen verwendet, setzen Sie sofort die Sicherheitsleiste Ihrer Konten etwas höher. Haben Sie diese 5 ersten Schritte zur Online-Sicherung Ihrer Konten unternommen? Haben Sie diese 5 ersten Schritte unternommen, um Ihre Konten online zu sichern? Es ist überraschend, wie viele Menschen diese Grundlagen der Online-Sicherung ignorieren. Diese fünf Websites und Tools erleichtern die Online-Sicherheit. Weiterlesen .
Und das macht mich sicher?
Sicherer, Freund, aber nicht ganz sicher.
Wie Sie sehen, hat Google 2015 ein interessantes Dokument veröffentlicht, in dem er die Lektionen zu Sicherheitsfragen untersucht. Mit ihrem fast konkurrenzlosen Datenbestand zur Analyse der geheimen Fragen ihrer monumentalen Anwenderbasis wollten sie herausfinden, wie effektiv diese zusätzliche Sicherheitsschicht ist.
Unsere Analyse bestätigt, dass geheime Fragen im Allgemeinen eine Sicherheitsstufe bieten, die weit unter den vom Benutzer gewählten Kennwörtern liegt. Es stellt sich heraus, dass es sogar noch weniger ist als Stellvertreter, wie die tatsächliche Verteilung der Nachnamen in der Bevölkerung angeben würde.
Überraschenderweise haben wir festgestellt, dass ein wesentlicher Grund für diese Unsicherheit darin liegt, dass Benutzer häufig nicht wahrheitsgemäß antworten. Eine von uns durchgeführte Benutzerumfrage ergab, dass ein erheblicher Teil der Benutzer (37%), die zugegeben haben, falsche Antworten zu geben, dies versucht haben “schwieriger zu erraten” Obwohl dieses Verhalten zusammengenommen die gegenteilige Wirkung als Menschen hatte “härten” ihre Antworten auf vorhersehbare Weise.
Warum versuchen wir zu lügen, machen es dann aber so schlimm? Wie Sie in der obigen Grafik sehen können, geben die meisten Befragten falsche Antworten mit der Überzeugung, dass dadurch ihre Sicherheit erhöht wird. Wir können dann davon ausgehen, dass die breite Öffentlichkeit (wenn auch eine winzige Momentaufnahme einer riesigen Datenbank) versteht, dass die Sicherheitsfragen gegen sie verwendet werden können und werden.
Das Google-Forschungsteam schlussfolgert daraus, dass Sicherheitsfragen entweder etwas sicher oder leicht zu merken sind, die goldene Kombination jedoch selten zu finden ist. Daher “Während Google SMS und E-Mail-Wiederherstellung bevorzugt, ist kein Mechanismus perfekt.”
Ein Paradebeispiel
Leider lehnte Google die tatsächliche Größe der für die Studie verwendeten Datenbank ab. Das haben sie jedoch bestätigt “Die betrachteten Daten enthalten Hunderte Millionen Datenpunkte und jede untersuchte Frage hatte über 1 Million Antworten.” Wesentliche Zahlen, unter Berücksichtigung ihrer geschätzten Nutzerbasis.
Im Jahr 2016 hat United Airlines ein neues, aktualisiertes Sicherheitsschema für seine Kundenkonten eingeführt. Das alte System, das sich auf vierstellige PINs stützte, wurde zu Recht für Konten mit potenziellen Hunderttausenden von Vielfliegermeilen als ungeeignet erachtet. Bei dem aktualisierten System müssen Benutzer ein eindeutiges Kennwort eingeben und fünf persönliche Sicherheitsfragen beantworten.
Klingt gut, richtig? Mit Ausnahme von United Airlines bitten ihre Kunden, ein starkes, eindeutiges Passwort zu wählen und ihre Fragen mit vorab festgelegten Antworten zu beantworten. Das ist richtig: vorgegebene Antworten. Zum Beispiel, wenn Sie die Frage wählen “In welchem Monat haben deine besten Freunde Geburtstag,” Ihre möglichen Angreifer haben - Sie haben es erraten - nur zwölf Antworten, um sich durchzustehen. Harte Zeiten.
Vereinigte Grund dafür “Die meisten Sicherheitsprobleme, mit denen unsere Kunden konfrontiert sind, können auf Computerviren zurückgeführt werden, die die Typisierung aufzeichnen. Die Verwendung vordefinierter Antworten schützt vor dieser Art von Angriff.”
Der Sicherheitsforscher Brian Krebs sprach direkt mit dem Direktor der IT-Sicherheitsintelligenz von United Airlines, Benjamin Vaughn. Vaughn sagte der Firma “Die Fragen wurden randomisiert, um Bot-Programme zu verwirren, die die Übermittlung von Antworten automatisieren möchten, und dass Sicherheitsfragen, die falsch beantwortet wurden, "gesperrt" wären und nicht erneut gestellt wurden.”
"Sicherheitsfragen sind der am wenigsten sichere Weg, etwas zu sichern." Rik Ferguson @TrendMicro # AISA2016
- Tracey Spicer (@TraceySpicer) 19. Oktober 2016
Darüber hinaus bestätigte Vaughn Krebs, dass mehrere erfolglose Versuche zu einem gesperrten Konto führen würden. Folglich muss der Benutzer direkt mit United Airlines kommunizieren, um sein Konto zu entsperren.
Konventionelle Weisheit
United Airlines hat eine Sicherheitslücke gefunden, deren Lösung das Problem jedoch nicht vollständig gelöst hat. Wie wir gesehen haben, ist der einzig sichere Weg, eine Sicherheitsfrage zu beantworten, ähnlich einem Passwort, dass etwas wirklich Einzigartiges und Zufälliges bereitgestellt wird. Dies in der Hoffnung, dass potenzielle Hacker durch die Komplexität frustriert werden und auf das nächste Konto wechseln.
Die Feststellung, dass die allgemeine Öffentlichkeit unter Sicherheitsmüdigkeit leidet, ist wichtig, weil sie Auswirkungen auf den Arbeitsplatz und den Alltag der Menschen hat. Es ist kritisch, weil so viele Menschen online ein Bankkonto haben und Gesundheitswesen und andere wertvolle Informationen ins Internet verlagert werden.
Wenn die Menschen Sicherheit nicht nutzen können, werden sie es nicht tun, und dann sind wir und unsere Nation nicht sicher.
- Kognitiver Psychologe und Sicherheitsmüdigkeit Mitautor Brian Stanton
Leider ist Sicherheitsmüdigkeit ein sehr reales Problem. Die Nutzer werden zunehmend müder. Sicherheitsverletzungen und erzwungene Kennwortrücksetzungen sind mittlerweile so verbreitet, dass viele Benutzer Alarme einfach ignorieren. Diese Ermüdung führt zu einem riskanten Nutzerverhalten sowohl zu Hause als auch am Arbeitsplatz. Wir schlagen vor:
- Automatisieren - Übernehmen Sie die Kontrolle über Ihre Sicherheit, und automatisieren Sie Scans und Backups. Zahlen Sie nicht auf - wie man Ransomware besiegt! Bezahlen Sie nicht - wie man Ransomware besiegt! Stellen Sie sich vor, wenn jemand vor Ihrer Tür auftauchte und sagte: "Hey, in Ihrem Haus gibt es Mäuse, von denen Sie nichts wussten. Geben Sie uns 100 Dollar, und wir werden sie loswerden." Dies ist die Ransomware… Lesen Sie mehr und mehr.
- Passwortverwaltung - In LastPass verfügbare Lösungen für die Passwortverwaltung Mit LastPass Master for Password Ihre Sicherheitsanforderungen Mit LastPassSicherheitsherausforderungen können Sie Ihre Passwörter mit Last meistern. Wir haben so viel Zeit online, mit so vielen Konten, dass das Erinnern von Passwörtern sehr schwierig sein kann. Besorgt über die Risiken? Erfahren Sie, wie Sie die Sicherheitsphase von LastPass nutzen können, um Ihre Sicherheitshygiene zu verbessern. Lesen Sie mehr oder KeyPass, und beide kümmern sich auch um Ihre Sicherheitsfragen.
- In Besitz nehmen - Ihre Datensicherheit liegt in Ihrer Verantwortung. Wir haben hohe Erwartungen an die Institutionen, die unsere Daten verwalten, und dies zu Recht. Das heißt, wenn Sie keine strengen Sicherheitsmaßnahmen zu Hause auferlegen, werden Sie einen Teil der Schuld teilen.
Wir haben ausführlich über die Überwindung der Sicherheitsmüdigkeit geschrieben. 3 Möglichkeiten, die Sicherheitsmüdigkeit zu überwinden und Online sicher zu bleiben 3 Möglichkeiten, die Sicherheitsmüdigkeit zu überwinden und Online-Sicherheitsmüdigkeit zu überwinden - eine Müdigkeit im Umgang mit Online-Sicherheit - ist real und macht viele Menschen weniger sicher. Hier sind drei Dinge, die Sie tun können, um die Sicherheitsmüdigkeit zu überwinden und sich selbst zu schützen. Weiterlesen . Lesen Sie es vor und übernehmen Sie die Kontrolle über Ihre Sicherheitsfragen!
Wie beantworten Sie Ihre Sicherheitsfragen? Hast du den Sweet Spot getroffen? Oder verwenden Sie eine Passwortverwaltungs-App? Teilen Sie uns unten Ihre Tipps zur Sicherheitsfrage mit!
Erfahren Sie mehr über: Passwort.