Passworte - sicher oder ... ?
Zeit um Sicherheitsfragen zu töten – oder mit Lügen zu beantworten
Autor: Lily Heu Newman. ⦁ Lily Heu Newman
Sicherheit
Datum der Veröffentlichung: 09.28.16. 09.28.16
Zeitpunkt der Veröffentlichung: 07:00. 07:00
Der Begriff der Verwendung von robusten, zufällige Passwörter ist alles
andere als mainstream geworden – inzwischen weiß jeder, der eine Ahnung
von Sicherheit Sinn, dass "password1" und "1234567" sind nicht ihnen
keinen Gefallen tut. Aber auch als Passwort-Sicherheit verbessert, es
gibt etwas noch problematischer, die ihnen zugrunde liegt:
Sicherheitsfragen.
Letzte Woche Yahoo ergab, dass es massiv gehackt hatte, mit mindestens
500 Millionen von Daten seiner Nutzer beeinträchtigt vom Staat
gesponsert Eindringlinge. Und in der Firmenliste verstoßen Daten
enthalten waren nicht nur die üblichen Hash-Passwörter und
e-Mail-Adressen, aber die Sicherheitsfragen und Antworten, die Opfer als
backup Mittel ihre Kennwörter zurücksetzen gewählt hatte – angeblich
geheimer Informationen wie Ihre Lieblings-setzen Sie auf Urlaub oder auf
der Straße Sie wuchs auf. Yahoos Daten Debakel hebt hervor, wie diese
harmlos anmutenden Fragen ein schwaches Glied in unserer
Online-Authentifizierungssystemen bleiben. Fragen der Sicherheit der
Sicherheits-Community Fragen stellen und sie werden Ihnen sagen, dass
sie abgeschafft werden sollte – und dass bis sie sind, Sie nie sollten
sie ehrlich beantworten.
Von ihrer gefährlichen Guessability zu den Schwierigkeiten nach einer
großen Verletzung wie Yahoos zu ändern haben Sicherheitsfragen tief als
unzureichend erwiesen als Kontingenz Mechanismen für Passwörter. Sie
sollen eine zuverlässige letzter verzweifelter Recovery Funktion: selbst
wenn Sie ein kompliziertes Passwort vergessen, das Denken geht,
vergessen Sie nicht, Mädchenname der Mutter oder die Stadt, die Sie
geboren wurden. Aber unter Berufung auf Sachdaten, die nie gedacht war,
in erster Linie geheim gehalten werden – Web- und social-Media-Suche
können oft offenbaren, wo jemand aufgewachsen oder was die machen ihr
erstes Auto war – der Ansatz Konten gefährdet. Und da der Name Ihres
ersten Haustiers ändert sich nie, Ihre Antworten auf Sicherheitsfragen
sofort gewährleistet über viele digitale Dienste wenn sie durch digitale
snooping oder eine Datenschutzverletzung enthüllt werden.
Bitte setzen Sie Mädchenname der Mutter
All das hat dazu geführt, dass Security-Experten, ihren Untergang zu
befürworten. "Ich möchte diese Praxis Weg zu gehen, zu sehen", sagt Jim
Fenton, Identitätsschutz und Sicherheitsberater, der Blog Unsicherheit
Fragen läuft. "Wenn Passwörter anfällig sind warum Sicherheitsfragen
irgendwie so besonders, dass sie ewig leben?" Fenton weist darauf hin,
dass jede neue Datenpanne persönlichere Informationen offenbart, die
stellen, die Antworten auf Sicherheitsfragen leichter zu erraten oder
einfach erlauben Hackern zugespielt Sicherheitsfragen Antwort auf einen
anderen Dienst zuzugreifen wiederverwenden können. "Angreifer werden
immer breiter und breiter Informationen die ganze Zeit über Benutzer
durch die Bündelung all diese verschiedenen Lecks," sagt er.
"Tut mir leid, aber wenn Sie ein Yahoo-Konto haben, müssen Sie eine neue
Mutter zu finden, und auf einer anderen Straße aufgewachsen" University
of Pennsylvania Informatiker Matt Blaze witzelte auf Twitter , nachdem
Yahoo Daten Ankündigung verstoßen. Sicherheitsfrage und-Antwort
wiederverwenden zwischen Standorten, fügte er hinzu, "bedeutet, dass
Verstöße gegen den Datenschutz in der Größenordnung von Yahoo das sind
Äquivalent von Umweltkatastrophen."
Auch die Bundesregierung ist bereit, Kibosh Sicherheitsfragen. Im Juli
das National Institute of Standards und Technologie veröffentlicht einen
Entwurf der neuen Digitalen Authentifizierung Richtlinievorgeschlagen,
und während die letzten Revision "vorregistriert wissen Token" oder
Sicherheitsfragen, als eine empfohlene Authentifizierungstechnik
aufgeführt, der neue Entwurf beseitigt jegliche Erwähnung solcher
Maßnahmen. NIST, das heißt, unterstützt nicht mehr Sicherheitsfragen als
Maßnahme zum Schutz der Bundesrepublik Konten. Auch Yahoo selbst, das
Angebot Werkzeuge zur Sicherung der Benutzerkonten im Hinblick auf seine
Verletzung jetzt speziell Notizen, "um Ihr Konto zu sichern wir
empfehlen, dass Sie Ihre Sicherheitsfragen deaktivieren."
In einem Papier 2015 analysiert zwei Google-Sicherheitsexperten die
Schwächen des Konzepts und kam zu dem Schluss, "geheime Fragen weder
sicher noch zuverlässig genug, um als ein eigenständiges Konto
Recovery-Mechanismus verwendet werden sind. Das ist, weil sie einen
grundlegenden Fehler leiden: ihre Antworten sind etwas sicher und leicht
zu merken – aber selten beides. " Lange bevor die Studie auch herauskam,
war Google phasing-out Sicherheitsfragen und Anmeldeaufforderung
SMS-Nachrichten und Back-up e-Mail-Adressen zu initiieren
Wiederherstellung eines Kontos einrichten.
Keine schnelle Lösung
Der Übergang von Sicherheitsfragen, wird nicht jedoch leicht sein.
Unternehmen müssen sich Kontingenz Alternativlösungen wie Zurücksetzen
des Kennworts Anweisungen an eine Back-up e-Mail-Adresse senden, die
erfordert, dass Benutzer einen physischen Authentifizierung
Dongleproduzieren oder die Verwendung in Echtzeit generierten Codes aus
einer sicheren Authentifizierung-app zu implementieren. Und Dinge
bekommen gewunden, weil sogar etwas wie das Versenden von
SMS-Nachrichten an eine vorgegebene Anzahl, eine beliebte aktuelle
Alternative zu Sicherheitsfragen, Sicherheits-Probleme von seinen selbst
hat. Jeffrey Goldberg, ein Produkt Security Officer bei AgileBits — die
Sicherheitsfirma, die beliebten Passwort Manager 1Password macht — sagt,
dass all das macht das Problem schwer zu beheben. "(In) Security Fragen
sind schrecklich," schreibt er in einer e-Mail. "Es ist einfach zu
reden, die schreckliche Sicherheitslücke, die [sie] schaffen, aber es
ist schwieriger, eine Alternative zu bieten."
Aber NIST senior Standards und Technologieberater Paul Grassi, die Werke
auf die Normen-Revisionen, glaubt, dass es genügend Alternativen zu
Sicherheitsfragen zur Verfügung, die sie auch für die Bundesregierung
auslaufen werden können. "Wir erkennen, dass es keine one size fits
all", sagt er. "Hoffentlich sind wir in Richtung auf ein Modell wo
Agenturen viele Dinge ausgeben. Sie wollen Google fordert? Für ihn
gehen. Sie wollen U2F? Für ihn gehen. Sie möchten etwas auf ein Stück
Papier, das wir Ihnen per Post geschrieben? Go for it."
Beliebte Web-Services von Sicherheitsfragen zum überlegenen Optionen
bewegen versuchen, aber sind in verschiedenen Phasen des Übergangs. Am
deutlichsten zeigen einen Link "Passwort vergessen?" auf ihre
Login-Seiten, die Nutzer auf Kennwort ändern Tools. Aber um Sicherheit
ändern Fragen sich, was Sie durch die Kontooptionen jagen. Twitter
scheint nicht zu Sicherheitsfragen für Kontowiederherstellung überhaupt
zu benutzen. Facebook werden Sicherheitsfragen als letztes Mittel nur
anbieten, wenn ein User zum Ausdruck, dass sie nicht mehr Zugriff auf
das backup e-Mail-Adressen oder Telefonnummern, die sie zuvor
eingerichtet. Aber Facebook erlaubt keine Nutzer immer aktualisieren
oder ihre Fragen zu verbessern. Gleiches gilt für Amazon Payments. Und
viele Banken wie Bank of America, TD Bank und Treue, immer noch stark
auf Sicherheitsfragen als Konto Recovery Technik.
Mein erstes Auto war ein Y ^ i72b(lV$
Da Sicherheitsfragen nicht Weg, jederzeit schnell gehen, gibt es
Schritte können Sie dir in der Zwischenzeit zu stärken – zumindest für
einige Dienste. Das lässt sich am besten Sicherheitsantworten robuster
zu machen, liegen in Ihren Antworten und idealerweise eine zufällige
Zeichenfolge als die Antwort anstatt sinnvolle Informationen
einzureichen. Auf diese Weise auch wenn eine Frage eine obskure Leben
Detail behandelt, die Sie sicher sind, dass ein Hacker über dich
herausfinden konnte nicht sind Sie noch nicht Antworten offenbaren, die
in einer Verletzung beeinträchtigt werden könnte.
https://www.wired.com/2016/09/time-kill-security-questions-answer-lies/