خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

چرا به سوالات امنیتی رمز عبور اشتباه پاسخ می دهید؟

ارشیا یوسفی ادیب ۲۰ شهریور, ۱۴۰۱ 7 min read

چگونه به سوالات امنیتی حساب آنلاین پاسخ می دهید؟ پاسخ های صادقانه؟ متأسفانه، صداقت شما می تواند شکافی در زره آنلاین شما ایجاد کند.

هنگامی که برای یک سرویس آنلاین جدید ثبت نام می کنیم، همیشه از ما خواسته می شود که یک رمز عبور ایجاد کنیم و حساب جدید را ایمن کنیم. اگر عاقل هستید، یک رشته طولانی و کاملا تصادفی انتخاب می کنید یا اجازه می دهید یک برنامه مدیریت رمز عبور کار را برای شما انجام دهد. بعدی در دنباله سوالات امنیتی است.

این سوالات معمولاً نام دختر مادر، نام مدرسه ابتدایی، نام اولین حیوان خانگی و غیره را می پرسند. سؤالات امنیتی که برای ایمن نگه داشتن حساب های ما در برابر هکرهای احتمالی طراحی شده اند، باید به عنوان یک خط دفاع اضافی عمل کنند.

چگونه به آن سوالات پاسخ می دهید؟ آیا شما حقیقت را می گویید، تمام حقیقت را، و چیزی جز حقیقت را نمی گویید؟ متأسفانه، صداقت شما می تواند باعث ایجاد یک شکاف غیرمنتظره در زره آنلاین شما شود. بیایید نگاهی بیاندازیم به اینکه دقیقاً چگونه باید به سؤالات امنیتی پاسخ دهید.

نکات رمز عبور به امنیت شما آسیب می رساند

نکات رمز عبور بدون شک مفید هستند. اگر رمز عبور ویندوز خود را فراموش کنید، یک راهنمایی مفید نمایش داده می شود. و این تنها پس از یک تلاش ناموفق است. در مورد رمز عبور ویندوز، راهنمایی شما باید حافظه شما را تازه کند. این به شما یادآوری می‌کند که از اشاره‌ای که انتخاب کرده‌اید استفاده کنید، بنابراین می‌توانید به همان اندازه که احساس می‌کنید رمزآلود یا باز باشید.

سوالات امنیتی متفاوت است. ما مرتباً با ترکیب سؤالات آشنای ذکر شده در بالا روبرو می شویم و با کمال میل پاسخ های دقیقی ارائه می دهیم. سوالات امنیتی به عنوان یک خط دفاعی اضافی ارائه می شوند. با این حال، شما باید سهولت نسبی دستیابی به برخی از پاسخ ها را در جامعه فوق العاده متصل امروزی در نظر بگیرید.

محققان امنیتی مرتباً سؤالات امنیتی را بی‌درآمد می‌دانند. آیا می‌توانیم به یک اقدام امنیتی ایمان داشته باشیم که پاسخ‌های آن به راحتی قابل کشف باشد؟

برای سوالات امنیتی از پاسخ های قوی و تک استفاده استفاده کنید

مهاجمان سؤالات آسان را شکار می کنند – رنگ ها، نام های دختر، اولین حیوانات خانگی – زیرا به راحتی از طریق حساب های رسانه های اجتماعی قابل دستیابی هستند. بدتر از آن، اگر حساب شما از پرسش‌ها و پاسخ‌های بسیار خاص استفاده می‌کند، مهاجم می‌تواند رمزهای عبور احتمالی دیگر را حذف کند.

به عنوان مثال، اگر سوال امنیتی این بود که “اولین ماشین خود را از کجا خریدید؟” مهاجم می تواند بلافاصله پاسخ های ساده تر را نادیده بگیرد. اگر سوال این است که “نام شهر شما چیست؟” برای یک مهاجم ساده است که از طریق حساب فیس بوک یا لینکدین شما اسکن کند تا اطلاعات را فاش کند (البته اگر در لیست باشد).

مطلب مرتبط:   فایرفاکس در مقابل اپرا: کدام مرورگر برای امنیت بهتر است؟

من مطمئن هستم که شما قبلاً راه حل واضحی را برای این مشکل امنیتی ارائه کرده اید. اگر مهاجم به دنبال پاسخی است که مستقیماً به شما مربوط باشد، چرا از چیزی کاملاً متفاوت استفاده نکنید؟

  • نام دختر مادرت چیست؟ fa1c0npunc4
  • کجا با همسرت آشنا شدی؟ b1cycl3tyr3
  • نام اولین حیوان خانگی شما چه بود؟ n0str0d4mu5

خوب، آنها نمونه های وحشتناکی هستند، اما شما دریفت را می گیرید. اگر پاسخ الف) مبهم و ب) از کاراکترهای تصادفی استفاده می کند، بلافاصله نوار امنیتی حساب های خود را کمی بالاتر می گذارید.

سوالات امنیتی خود را تصادفی کنید تا امنیت خود را افزایش دهید

تصادفی کردن یا استفاده از یک پاسخ منحصربه‌فرد برای سوالات امنیتی حسابتان، امنیت شما را در کل افزایش می‌دهد. با این حال، سؤالات و پاسخ های امنیتی به طور کلی به عنوان یک روش امنیتی مورد انتقاد قرار می گیرند. به گفته موسسه ملی استاندارد و فناوری (NIST)، سوالات امنیتی دیگر نباید به عنوان روش احراز هویت حساب کاربری استفاده شوند. به نقل از انتشارات ویژه NIST 800-63B، سؤالات امنیتی برابر با احراز هویت حساب است، بنابراین حدس زدن و استفاده از آنها نسبت به روش‌های احراز هویت معمولی (یعنی رمزهای عبور، تأیید دو مرحله‌ای/دو مرحله‌ای) ساده‌تر از هدف فرآیند است.

یک مطالعه Google در سال 2015 در مورد سؤالات و پاسخ های امنیتی، سؤالات امنیتی مخفی ارائه شده توسط پایگاه کاربر عظیم آنها را تجزیه و تحلیل کرد و نشان داد که پاسخ های امنیتی یک شکل آسیب پذیر امنیتی هستند زیرا کاربران اغلب سعی می کنند پاسخ های خود را سخت تر کنند اما این کار را به شیوه ای کاملاً قابل پیش بینی انجام می دهند.

تجزیه و تحلیل ما تأیید می کند که سؤالات مخفی معمولاً سطح امنیتی بسیار پایین تر از رمزهای عبور انتخاب شده توسط کاربر را ارائه می دهند. به نظر می رسد حتی کمتر از آن چیزی است که نشان دهنده توزیع واقعی نام خانوادگی در جمعیت است.

با کمال تعجب، ما متوجه شدیم که دلیل مهم این ناامنی این است که کاربران اغلب صادقانه پاسخ نمی دهند. یک نظرسنجی از کاربران که ما انجام دادیم نشان داد که بخش قابل توجهی از کاربران (37٪) که اعتراف به ارائه پاسخ‌های جعلی داشتند، این کار را در تلاشی برای سخت‌تر کردن حدس زدن آن‌ها انجام دادند، اگرچه در مجموع این رفتار تأثیر معکوس داشت زیرا افراد پاسخ‌های خود را «سخت‌تر» می‌کردند. به روشی قابل پیش بینی پاسخ می دهد.

چرا سعی می کنیم دروغ بگوییم، اما آنقدر بد انجام می دهیم؟ همانطور که در نمودارهای زیر مشاهده می کنید، اکثر پاسخ دهندگان با این باور که امنیت آنها را افزایش می دهد، پاسخ های نادرست ارائه می دهند. سپس می‌توانیم فرض کنیم که عموم مردم (البته تصویری کوچک از یک پایگاه داده عظیم) می‌دانند که سؤالات امنیتی می‌توانند علیه آنها استفاده شوند و خواهند بود.

مطلب مرتبط:   8 نشانه ردیابی تلفن که باید مراقب آنها باشید

بررسی پاسخ امنیتی گوگل شکل 9بررسی پاسخ امنیتی گوگل شکل 8جدول مطالعه پاسخ امنیتی گوگل 2

تیم تحقیقاتی گوگل در نهایت به این نتیجه رسیدند که سوالات امنیتی یا تا حدودی امن هستند یا به راحتی قابل یادآوری هستند، اما ترکیب طلایی به ندرت یافت می شود. از این رو “در حالی که گوگل بازیابی پیامک و ایمیل را ترجیح می دهد، هیچ مکانیزمی کامل نیست.”

سوالات امنیتی چند گزینه ای خطوط هوایی متحده

به راحتی می توان در مورد اینکه چگونه سوالات امنیتی یک روش احراز هویت حساب ناامن هستند، توضیح داد. ارائه سوالاتی با عبارات ضعیف یا به راحتی قابل حدس زدن یک چیز است، اما مجبور کردن کاربران به انتخاب پاسخ از یک لیست کاملاً چیز دیگری است.

در سال 2016، هواپیمایی یونایتد یک طرح امنیتی جدید و به روز را برای حساب های مشتریان خود ارائه کرد. سیستم قدیمی که بر پین های 4 رقمی متکی بود به درستی برای حساب هایی که به طور بالقوه حاوی صدها هزار دلار مایل پرواز مکرر بودند نامناسب تلقی می شد. سیستم به روز شده از کاربران می خواهد که یک رمز عبور منحصر به فرد وارد کنند و همچنین به پنج سوال امنیتی شخصی پاسخ دهند.

خوب به نظر می رسد، درست است؟ به جز هواپیمایی یونایتد از مشتریان خود خواسته است که یک رمز عبور قوی و منحصر به فرد انتخاب کنند و با استفاده از مجموعه ای از پاسخ های از پیش تعیین شده به سؤالات آنها پاسخ دهند. درست است: پاسخ های از پیش تعیین شده. به عنوان مثال، اگر سؤال «تولد بهترین دوستتان در چه ماهی است» را انتخاب کنید، مهاجمان احتمالی شما – حدس زدید – فقط دوازده پاسخ برای نبرد دارند. روزگار سخت

دلیل مشترک این است که “اکثر مسائل امنیتی که مشتریان ما با آن روبرو هستند را می توان در ویروس های رایانه ای که تایپ کردن را ضبط می کنند ردیابی کرد و استفاده از پاسخ های از پیش تعریف شده در برابر این نوع نفوذ محافظت می کند.”

برایان کربس، محقق امنیتی، مستقیماً با بنجامین وان، مدیر اطلاعات امنیت فناوری اطلاعات یونایتد ایرلاینز صحبت کرد. وان گفت که این شرکت “سؤالات را تصادفی می کند تا برنامه های رباتی را که به دنبال خودکارسازی ارسال پاسخ هستند، مخدوش کند و سوالات امنیتی که به اشتباه پاسخ داده می شوند “قفل” می شوند و دوباره پرسیده نمی شوند.

علاوه بر این، وان به کربس تأیید کرد که چندین تلاش ناموفق منجر به قفل شدن حساب می شود. در نتیجه، کاربر باید مستقیماً با United Airlines ارتباط برقرار کند تا قفل حساب خود را باز کند.

مطلب مرتبط:   "آیا تلفن من هک شده است؟" در اینجا نحوه بیان است

مبارزه با خستگی امنیتی و افزایش امنیت حساب

خطوط هوایی یونایتد یک آسیب پذیری امنیتی را شناسایی کرد، اما پاسخ آنها به طور کامل این مشکل را حل نکرد. همانطور که دیدیم، تنها راه واقعا ایمن برای پاسخ به یک سوال امنیتی، مانند رمز عبور، ارائه چیزی واقعا منحصر به فرد و تصادفی است. این به این امید است که هکرهای بالقوه از پیچیدگی ناامید شده و وارد حساب بعدی شوند.

با این حال، به گفته برایان استانتون، روانشناس شناختی و یکی از نویسندگان «خستگی امنیتی»، خستگی امنیتی یک مشکل بسیار واقعی است.

این یافته که عموم مردم از خستگی امنیتی رنج می برند بسیار مهم است زیرا پیامدهایی در محل کار و زندگی روزمره مردم دارد. این بسیار مهم است زیرا بسیاری از مردم به صورت آنلاین بانک می کنند و از آنجایی که مراقبت های بهداشتی و سایر اطلاعات ارزشمند به اینترنت منتقل می شوند.

اگر مردم نتوانند از امنیت استفاده کنند، نمی‌خواهند، و آن وقت ما و ملت ما امنیت نخواهیم داشت.

کاربران به طور فزاینده ای خسته می شوند. نقض امنیتی و بازنشانی اجباری رمز عبور در حال حاضر بسیار رایج است، بسیاری از کاربران به سادگی هشدارها را نادیده می گیرند. متاسفانه این خستگی منجر به رفتار پرخطر کاربر در خانه و محل کار می شود. تقویت امنیت شما می تواند به آسانی ایجاد چند تغییر ساده در رفتار شما باشد:

  • خودکار: کنترل امنیت خود را در دست بگیرید و اسکن ها، پشتیبان گیری و موارد دیگر را خودکار کنید.
  • مدیریت رمز عبور: راه حل های مدیریت رمز عبور برای انواع دستگاه ها در دسترس هستند و بسیاری از آنها به سوالات امنیتی شما نیز پاسخ می دهند.
  • مالکیت را بگیرید: مسئولیت امنیت داده های شما بر عهده شماست. ما از مؤسساتی که داده‌های ما را نگهداری می‌کنند، انتظارات زیادی داریم، و این درست است. گفتنی است، اگر تدابیر امنیتی قوی در خانه اعمال نکنید، بخشی از تقصیر را بر عهده خواهید داشت.

در حال حاضر، سؤالات و پاسخ های امنیتی راه به جایی نمی برند. آنها در حال کمتر شدن هستند، و ما روش‌های دیگری برای تأیید حساب و احراز هویت برای کمک داریم. با این حال، هنگامی که با یک سوال امنیتی برای ایمن سازی حساب خود مواجه می شوید، مطمئن شوید که پاسخ های خود را با هم مخلوط کرده اید و سرقت اطلاعات شما را برای مهاجم دشوار می کنید. فقط مطمئن شوید که می توانید پاسخ ها را خودتان به خاطر بسپارید!

Tags: