Tại sao bạn trả lời sai câu hỏi bảo mật mật khẩu

Khi chúng tôi đăng ký một dịch vụ trực tuyến mới, chúng tôi luôn được yêu cầu tạo mật khẩu để bảo vệ tài khoản mới. Nếu hợp lý, bạn chọn một chuỗi dài, hoàn toàn ngẫu nhiên hoặc để ứng dụng quản lý mật khẩu thực hiện công việc cho bạn. Tiếp theo trong chuỗi là các câu hỏi bảo mật.

Những câu hỏi này thường hỏi tên thời con gái của mẹ bạn, tên trường tiểu học của bạn, tên con vật cưng đầu tiên của bạn, v.v. Được thiết kế để giữ an toàn cho tài khoản của chúng tôi khỏi bị tin tặc tấn công, các câu hỏi bảo mật phải hoạt động như một tuyến phòng thủ bổ sung.

Bạn trả lời những câu hỏi đó như thế nào? Bạn có nói sự thật, toàn bộ sự thật, và không có gì ngoài sự thật không? Thật không may, sự trung thực của bạn có thể tạo ra một vết nứt bất ngờ trong con giáp trực tuyến của bạn. Hãy xem chính xác cách bạn Nên đang trả lời các câu hỏi bảo mật.

Gợi ý mật khẩu làm hỏng bảo mật của bạn

Gợi ý mật khẩu chắc chắn là hữu ích. Một gợi ý hữu ích sẽ được hiển thị nếu bạn quên mật khẩu Windows của mình. Và đây là chỉ sau một lần thất bại duy nhất. Trong trường hợp mật khẩu Windows, gợi ý sẽ làm mới bộ nhớ của bạn. Nó nhắc bạn sử dụng một gợi ý mà bạn đã chọn, vì vậy bạn có thể khó hiểu hoặc cởi mở tùy theo cảm nhận của mình.

Câu hỏi bảo mật là khác nhau. Chúng tôi thường xuyên đối mặt với các tổ hợp câu hỏi quen thuộc được đề cập ở trên và sẵn sàng cung cấp câu trả lời chính xác. Các câu hỏi bảo mật được trình bày như một tuyến phòng thủ bổ sung. Tuy nhiên, bạn nên cân nhắc mức độ dễ dàng thu được một số câu trả lời trong xã hội siêu kết nối ngày nay.

Các nhà nghiên cứu bảo mật thường đưa ra các câu hỏi bảo mật là mờ nhạt. Liệu chúng ta có thể tin tưởng vào một biện pháp bảo mật mà câu trả lời của nó có thể được khám phá dễ dàng như vậy không?

Sử dụng các câu trả lời mạnh mẽ, sử dụng một lần cho các câu hỏi bảo mật

Những kẻ tấn công săn đón những câu hỏi dễ – màu sắc, tên thời con gái, vật nuôi đầu tiên – vì chúng dễ dàng có được thông qua các tài khoản mạng xã hội. Để làm cho vấn đề tồi tệ hơn, nếu tài khoản của bạn sử dụng các câu hỏi và câu trả lời cực kỳ cụ thể, kẻ tấn công có thể loại bỏ các mật khẩu tiềm năng khác.

Ví dụ: nếu câu hỏi bảo mật là “Bạn mua chiếc ô tô đầu tiên của mình ở đâu?” kẻ tấn công có thể ngay lập tức bỏ qua các câu trả lời khác, dễ dàng hơn. Nếu câu hỏi là “Tên quê hương của bạn là gì?” thật đơn giản để kẻ tấn công quét qua tài khoản Facebook hoặc LinkedIn của bạn để tiết lộ thông tin (tất nhiên là nếu được liệt kê).

Tôi chắc rằng bạn đã tìm ra giải pháp rõ ràng cho vấn đề bảo mật này. Nếu kẻ tấn công đang tìm kiếm câu trả lời liên quan trực tiếp đến bạn, tại sao không sử dụng một thứ hoàn toàn khác?

• Tên thời con gái của mẹ bạn là gì? fa1c0npunc4

• Bạn đã gặp người phối ngẫu của mình ở đâu? b1cycl3tyr3

• Tên con thú nuôi đầu tiên của bạn là gì? n0str0d4mu5

Được rồi, chúng là những ví dụ khủng khiếp, nhưng bạn nắm bắt được sự trôi chảy. Nếu câu trả lời là a) tối nghĩa và b) sử dụng các ký tự ngẫu nhiên, ngay lập tức bạn sẽ đặt thanh bảo mật của các tài khoản của mình cao hơn một chút.

Ngẫu nhiên các câu hỏi bảo mật của bạn để tăng cường bảo mật của bạn

Việc chọn ngẫu nhiên hoặc sử dụng một câu trả lời duy nhất cho các câu hỏi bảo mật tài khoản của bạn sẽ tăng cường bảo mật của bạn trên toàn diện. Tuy nhiên, bản thân các câu hỏi và câu trả lời bảo mật được coi là một phương pháp bảo mật nói chung. Theo Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), các câu hỏi bảo mật không còn được sử dụng như một phương thức xác thực tài khoản. Diễn giải từ NIST Special Publication 800-63B, các câu hỏi bảo mật tương đương với xác thực tài khoản, do đó, việc làm cho chúng dễ đoán và dễ sử dụng hơn các phương pháp xác thực thông thường (tức là mật khẩu, xác minh hai yếu tố / hai bước) đánh bại đối tượng của quy trình.

Một nghiên cứu năm 2015 của Google về các câu hỏi và câu trả lời bảo mật đã phân tích các câu hỏi bảo mật bí mật được đưa ra bởi cơ sở người dùng khổng lồ của họ, tiết lộ rằng câu trả lời bảo mật là một dạng bảo mật dễ bị tấn công vì người dùng thường cố gắng làm khó câu trả lời của họ nhưng làm như vậy theo cách hoàn toàn có thể dự đoán được.

Phân tích của chúng tôi xác nhận rằng các câu hỏi bí mật thường cung cấp mức độ bảo mật thấp hơn nhiều so với mật khẩu do người dùng chọn. Nó hóa ra thậm chí còn thấp hơn các ủy quyền như sự phân bố thực tế của họ trong dân số sẽ chỉ ra.

Đáng ngạc nhiên, chúng tôi phát hiện ra rằng một nguyên nhân đáng kể của sự mất an toàn này là do người dùng thường không trả lời trung thực. Một cuộc khảo sát người dùng mà chúng tôi thực hiện cho thấy một phần đáng kể người dùng (37%) thừa nhận đã cung cấp câu trả lời giả mạo để cố gắng khiến họ “khó đoán” hơn mặc dù về tổng thể, hành vi này có tác động ngược lại khi mọi người “làm khó” họ câu trả lời theo cách có thể đoán trước được.

Tại sao chúng ta cố gắng nói dối, nhưng sau đó lại làm điều đó rất tệ? Như bạn có thể thấy trong các biểu đồ sau, phần lớn những người được hỏi cung cấp câu trả lời sai với niềm tin rằng nó sẽ tăng tính bảo mật cho họ. Sau đó, chúng ta có thể giả định rằng công chúng nói chung (mặc dù chỉ là một ảnh chụp nhanh nhỏ của một cơ sở dữ liệu khổng lồ) hiểu rằng các câu hỏi bảo mật có thể và sẽ được sử dụng để chống lại chúng.

Cuối cùng, nhóm nghiên cứu của Google kết luận rằng các câu hỏi bảo mật có phần an toàn hoặc dễ nhớ, nhưng rất hiếm tìm thấy sự kết hợp vàng. Do đó, “mặc dù Google thích khôi phục SMS và email, nhưng không có cơ chế nào là hoàn hảo.”

Câu hỏi bảo mật dành cho nhiều lựa chọn của United Airlines

Thật dễ dàng để biết câu hỏi bảo mật là một phương pháp xác thực tài khoản không an toàn như thế nào. Đưa ra những câu hỏi có từ ngữ kém hoặc dễ đoán là một chuyện, nhưng buộc người dùng chọn câu trả lời từ danh sách lại là một chuyện hoàn toàn khác.

Vào năm 2016, United Airlines đã triển khai một chương trình bảo mật mới, cập nhật cho tài khoản khách hàng của mình. Hệ thống cũ dựa trên mã PIN 4 chữ số được cho là không phù hợp với các tài khoản có khả năng chứa hàng trăm nghìn đô la dặm bay thường xuyên. Hệ thống cập nhật yêu cầu người dùng nhập một mật khẩu duy nhất, cũng như trả lời năm câu hỏi bảo mật cá nhân.

Nghe có vẻ tốt, phải không? Ngoại trừ United Airlines yêu cầu khách hàng của họ chọn một mật khẩu mạnh, duy nhất và trả lời các câu hỏi của họ bằng cách sử dụng một bộ câu trả lời có sẵn. Đúng vậy: câu trả lời được sắp đặt trước. Ví dụ: nếu bạn chọn câu hỏi “Sinh nhật người bạn thân nhất của bạn vào tháng mấy”, thì những kẻ tấn công sẽ có — bạn đoán rồi — chỉ có mười hai câu trả lời để chiến đấu. Thời điểm khó khăn.

United lý do rằng “phần lớn các vấn đề bảo mật mà khách hàng của chúng tôi gặp phải có thể bắt nguồn từ vi-rút máy tính ghi lại quá trình nhập và việc sử dụng các câu trả lời được xác định trước sẽ bảo vệ chống lại kiểu xâm nhập này.”

Nhà nghiên cứu bảo mật Brian Krebs đã nói chuyện trực tiếp với Giám đốc tình báo an ninh CNTT của United Airlines, Benjamin Vaughn. Vaughn cho biết công ty “đang ngẫu nhiên hóa các câu hỏi để làm nhiễu các chương trình bot tìm cách tự động hóa việc gửi câu trả lời và các câu hỏi bảo mật trả lời sai sẽ bị ‘khóa’ và không được hỏi lại.”

Cùng với đó, Vaughn xác nhận với Krebs rằng nhiều lần thử không thành công sẽ dẫn đến tài khoản bị khóa. Do đó, người dùng phải liên hệ trực tiếp với United Airlines để mở khóa tài khoản của họ.

Chống mệt mỏi về bảo mật và tăng cường bảo mật tài khoản

United Airlines đã xác định được một lỗ hổng bảo mật, nhưng câu trả lời của họ không hoàn toàn giải quyết được vấn đề. Như chúng ta đã thấy, cách thực sự an toàn duy nhất để trả lời một câu hỏi bảo mật, giống như mật khẩu, bằng cách cung cấp một cái gì đó thực sự độc đáo và ngẫu nhiên. Điều này với hy vọng rằng các tin tặc tiềm năng sẽ cảm thấy thất vọng vì sự phức tạp và chuyển sang tài khoản tiếp theo.

Tuy nhiên, theo nhà tâm lý học nhận thức và đồng tác giả của Security F mỏi Brian Stanton, mệt mỏi về an ninh là một vấn đề rất thực tế.

Phát hiện ra rằng công chúng đang phải chịu đựng sự mệt mỏi về an ninh là rất quan trọng vì nó có những tác động ở nơi làm việc và trong cuộc sống hàng ngày của mọi người. Điều quan trọng là vì có rất nhiều người gửi ngân hàng trực tuyến, và vì dịch vụ chăm sóc sức khỏe và các thông tin có giá trị khác đang được chuyển lên internet.

Nếu mọi người không thể sử dụng bảo mật, họ sẽ không sử dụng, và khi đó chúng ta và quốc gia của chúng ta sẽ không được an toàn.

Người dùng ngày càng mệt mỏi. Vi phạm bảo mật và buộc phải đặt lại mật khẩu hiện đã quá phổ biến, nhiều người dùng chỉ đơn giản là bỏ qua các cảnh báo. Thật không may, sự mệt mỏi này dẫn đến hành vi rủi ro của người dùng ở nhà và tại nơi làm việc. Tăng cường bảo mật của bạn có thể dễ dàng bằng cách thực hiện một vài thay đổi đơn giản đối với hành vi của bạn:

• Tự động hóa: Kiểm soát bảo mật của bạn và tự động hóa quét, sao lưu, v.v.
• Quản lý mật khẩu: Các giải pháp quản lý mật khẩu có sẵn cho mọi loại thiết bị và nhiều giải pháp trong số đó cũng xử lý các câu hỏi bảo mật của bạn.
• Lấy quyền sở hữu: Bảo mật dữ liệu của bạn là trách nhiệm của bạn. Chúng tôi đặt nhiều kỳ vọng vào các tổ chức nắm giữ dữ liệu của chúng tôi và đúng như vậy. Điều đó nói lên rằng, nếu bạn không áp đặt các biện pháp an ninh mạnh mẽ ở nhà, bạn sẽ có một phần trách nhiệm.

Hiện tại, các câu hỏi và câu trả lời bảo mật không đi đến đâu cả. Chúng ngày càng ít phổ biến hơn và chúng tôi có các phương pháp xác minh và xác thực tài khoản khác để hỗ trợ. Tuy nhiên, khi bạn gặp câu hỏi bảo mật để bảo mật tài khoản của mình, hãy đảm bảo rằng bạn đang trộn các câu trả lời của mình và khiến kẻ tấn công khó lấy cắp dữ liệu của bạn. Chỉ cần đảm bảo rằng bạn có thể tự mình ghi nhớ câu trả lời!

Đọc tiếp

Thông tin về các Tác giả