※ 本文為 Knuckles 轉寄自 ptt.cc 更新時間: 2015-05-24 20:06:09
看板 Gossiping
作者 標題 [新聞] Google研究:網站常用的安全通關問題機制
時間 Sun May 24 19:10:49 2015
1.媒體來源:
iThome
2.完整新聞標題:
Google研究:網站常用的安全通關問題機制,不夠安全可靠!
3.完整新聞內文:
Google研究指出,一些網站用來幫助使用者恢復帳號的安全通關問題是一種相當不可靠
的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。Google雖然
也採用這項機制,但絕不會當作主要的方法。
的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。Google雖然
也採用這項機制,但絕不會當作主要的方法。
Google公佈研究指出,一些網站用來幫助使用者恢復帳號的安全通關問題是一種相當
不可靠的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。而
Google雖然也採用這項機制,但絕不會當作幫助使用者取回帳號的主要方法。
不可靠的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。而
Google雖然也採用這項機制,但絕不會當作幫助使用者取回帳號的主要方法。
網站常會要求用戶在設定密碼時再提供一組安全通關問題,像是「你第一隻寵物的
名字」、「你最喜歡的食物」或「母親娘家的姓」的答案,以便幫助使用者恢復密碼。
為了解這些問題的安全程度,Google反入侵研究小組研究人員深入分析Google服務中
數億組安全通關問題及答案,並在WWW 2015會議公佈研究結果。
研究顯示,利用這些問題作為密碼回復的協助機制,其安全性和效果都不盡理想,因為
答案不是太好猜,就是太難記,或是兩者皆是。
其中有些答案很容易搜集,或在某些文化中很好猜。例如駭客有19.7%的機會一次就
猜對英語系用戶最喜歡的食物是披薩。如果可以猜10次,攻擊者猜對韓國用戶出生地
的機率為39%,43%的機會猜對他們最喜歡的食物,24%機會猜對阿拉伯人「第一個老師
的名字」,猜對西班牙語使用者「你老爸的中間名」的比率則是21%。而像電話號碼或
最常坐的航班班次等看似很安全的問題,結果是37%的人提供假答案而弄巧成拙的反讓
答案變得比較好猜測。
或是最常坐的航班班次,用戶記得起來的比例只有22%及9%。研究人員發現,40%的英語系
美國Google用戶在需要時想不起與自身秘密有關的通關答案,而這些人有超過80%可能藉由
簡訊,近75%的人用電子郵件重設密碼。Google指出,對英語系美國Google用戶來說,像
美國Google用戶在需要時想不起與自身秘密有關的通關答案,而這些人有超過80%可能藉由
簡訊,近75%的人用電子郵件重設密碼。Google指出,對英語系美國Google用戶來說,像
「父親的中間名」是答案較好記也好用的問題,答對率有76%。但看似比較安全的「你的
第一支手機號碼」答對率只有55%。
Google並指出,兩組安全通關問題的設計雖然更安全,但即使是「出生地」及「父親的
中間名」這種容易的問題,人們同時答對兩題的比例卻也是大幅下降,因此這並不是好
方法。
中間名」這種容易的問題,人們同時答對兩題的比例卻也是大幅下降,因此這並不是好
方法。
Google表示,安全通關問題一向是網站用來驗證及回復使用者帳號的主要方法,但這次
的研究發現,讓網站和使用者都必需重新思考它的重要性。Google也強調Google長年來
只在文字簡訊或備份電子郵件回復無效時,才會使用安全通關問題的機制,絕不會單獨
用它來證明帳號所有權。Google也建議網站管理員應同時使用其他驗證方法,像是以簡
訊或次要電子郵件寄送備份碼,以確保安全性及使用者經驗。(編譯/林妍溱)
的研究發現,讓網站和使用者都必需重新思考它的重要性。Google也強調Google長年來
只在文字簡訊或備份電子郵件回復無效時,才會使用安全通關問題的機制,絕不會單獨
用它來證明帳號所有權。Google也建議網站管理員應同時使用其他驗證方法,像是以簡
訊或次要電子郵件寄送備份碼,以確保安全性及使用者經驗。(編譯/林妍溱)
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/96108
Google研究:網站常用的安全通關問題機制,不夠安全可靠! | iThome
Google研究指出,一些網站用來幫助使用者恢復帳號的安全通關問題是一種相當不可靠的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。Google雖然也採用這項機制,但絕不會當作主要的方法。 ...
Google研究指出,一些網站用來幫助使用者恢復帳號的安全通關問題是一種相當不可靠的安全機制,因為答案不是他人很容易猜出來,就是使用者自己想不起來。Google雖然也採用這項機制,但絕不會當作主要的方法。 ...
--
因為從來沒有忘記過,所以也不存在所謂的想起來吧
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.116.103.176
※ 文章代碼(AID): #1LOR79G6 (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1432465865.A.406.html
推 : Pizza1F 05/24 19:11
推 : 乾脆全部用手機驗證好了 不學學淘寶嗎?2F 05/24 19:12
→ : 反正ptt 打密碼都會變成星號 ********3F 05/24 19:12
推 : google maps搜尋玉山 不是台灣玉山4F 05/24 19:13
推 : *********5F 05/24 19:13
推 : 我都打fuck6F 05/24 19:13
→ : lag7F 05/24 19:13
→ : 真的耶8F 05/24 19:13
推 : ヽ( ・∀・)ノ阿拉伯人不就是莫罕默德9F 05/24 19:13
推 : 真的嗎 我試看看 ********10F 05/24 19:13
→ : 用hao123沒煩惱11F 05/24 19:14
→ : 屁咧最好這麼聰明 ********12F 05/24 19:14
推 : 電腦提示食物你就真設定食物?也太狗了吧13F 05/24 19:14
推 : ***********14F 05/24 19:14
→ : 幹!什麼時候的功能15F 05/24 19:14
推 : 我試試 yknoNo356216F 05/24 19:15
推 : 真的假的 我試試 ********17F 05/24 19:15
→ : 幹18F 05/24 19:15
推 : 幹 種族歧視喔XDDDDDDDDDDDDDDDDD19F 05/24 19:15
推 : ********20F 05/24 19:15
推 : 你最喜歡吃的東西 你在哪出生 你爸爸名子第三個字21F 05/24 19:15
推 : azznnasd22F 05/24 19:16
推 : 信用卡不都設定國小學校名字嗎23F 05/24 19:16
推 : 我的密碼是 URstupid24F 05/24 19:16
→ : ...25F 05/24 19:16
→ : 疑,沒效呀??26F 05/24 19:16
→ : 有人知道要去哪改密碼嗎27F 05/24 19:16
推 : *********28F 05/24 19:17
推 : ********29F 05/24 19:17
→ : 用寵物丫 選個地球上跟本不存在的生物 慢慢猜30F 05/24 19:17
→ : 我試試噢 ************31F 05/24 19:17
→ : 真的欸
→ : 真的欸
推 : 試看看Hao123Like33F 05/24 19:18
推 : **********34F 05/24 19:18
推 : %%%%%%%%35F 05/24 19:19
推 : 是看看 ininder197736F 05/24 19:19
推 : 對宅宅來說根本最安全機制,只要設定我老婆就好37F 05/24 19:20
噓 : 這個無聊梗到底要玩幾年38F 05/24 19:20
推 : 我試試看 *********39F 05/24 19:20
推 : 我國小讀哪裡 這問題我居然回答不出來..害我不能登入40F 05/24 19:21
→ : 幹 真的ㄟ41F 05/24 19:21
→ : ******42F 05/24 19:21
推 : 還好我都用「*^O^*520煞氣A卍⊙_⊙」43F 05/24 19:23
→ : 連自己都記不清處的密碼,都記在本子( ̄▽ ̄)
→ : 連自己都記不清處的密碼,都記在本子( ̄▽ ̄)
→ : *****##45F 05/24 19:24
→ : 28fickx46F 05/24 19:25
噓 : 玩多久了47F 05/24 19:29
推 : 我來試試看********48F 05/24 19:32
推 : 有新警察上鉤嘛? 這招都萬年梗了49F 05/24 19:36
推 : google不早就廢掉安全問題了,現在應該都沒的設了50F 05/24 19:38
推 : Pneumonoultramicroscopicsilicovolcanoconiosis51F 05/24 19:39
→ : 乾 明明密碼就沒有隱藏 騙人啊!! 叭叭叭叭的!!
→ : 乾 明明密碼就沒有隱藏 騙人啊!! 叭叭叭叭的!!
推 : 試試看 uare42689point253F 05/24 19:42
推 : 七碼以上都可以走開了=W=54F 05/24 19:45
推 : 來試試 *****55F 05/24 19:54
→ : 真的!
→ : 真的!
推 : 試試看 thisisav57F 05/24 19:58
--
回列表(←)
分享