अध्ययन: गुप्त प्रश्न पासवर्ड की रक्षा नहीं करते

यहां तक ​​कि यदि आपके पति / पत्नी को आपका ई-मेल पासवर्ड नहीं पता है, तो शायद उसे प्राप्त करने के लिए पर्याप्त जानकारी पता है।

नि: शुल्क ई-मेल प्रदाता अक्सर उपस्थित होते हैं एक खाता पासवर्ड रीसेट करने के लिए एक सत्यापन तंत्र के रूप में एक तथाकथित "गुप्त प्रश्न"। लेकिन ओकलैंड, कैलिफ़ोर्निया में इस सप्ताह सुरक्षा और गोपनीयता पर आईईईई संगोष्ठी के दौरान जारी किए जाने वाले एक नए अध्ययन के मुताबिक, उत्तर धारक को अन्य लोगों द्वारा आसानी से अनुमान लगाया जा सकता है।

अन्य मामलों में, अजनबी सफलतापूर्वक आपूर्ति कर सकते हैं कुछ सवालों के जवाब, इस प्रकार रिपब्लिकन उपाध्यक्ष पद के उम्मीदवार सारा पॉलिन ने अपने याहू खाते पर नियंत्रण खो दिया। विश्वविद्यालय के छात्र ने कमांडरिंग करने का आरोप लगाया, डेविड कर्नेल ने कहा कि पॉलिन के खाते के सुरक्षा प्रश्नों के सही उत्तरों के साथ आने के लिए ऑनलाइन शोध के एक घंटे से भी कम समय ले लिया।

[आगे पढ़ें: मैलवेयर को कैसे हटाएं विंडोज पीसी]

अध्ययन ने मार्च 2008 में याहू, Google, माइक्रोसॉफ्ट और एओएल द्वारा उपयोग किए गए सवालों पर ध्यान दिया। एक परीक्षण में, शोधकर्ताओं ने दो लोगों को एक साथ जोड़ा, ई-मेल खाताधारक ने कहा कि वे दूसरे पर भरोसा नहीं करेंगे उनके पासवर्ड वाले व्यक्ति। जब खाता धारक के गुप्त प्रश्न के साथ प्रस्तुत किया गया, तो दूसरे व्यक्ति ने अनुमान लगाया कि वह सही 17 प्रतिशत है।

दो लोगों में से जो एक-दूसरे पर भरोसा करते हैं, एक साथी हॉटमेल खाते के 28 प्रतिशत समय के लिए सही उत्तर देने में सक्षम था, अध्ययन ने कहा।

यहां तक ​​कि उपयोगकर्ता द्वारा लिखे गए प्रश्नों के साथ - Google जो सिस्टम अब नियोजित करता है - एक पूर्ण अजनबी पांच प्रयासों के भीतर 15 प्रतिशत उत्तर का अनुमान लगा सकता है।

समस्या का हिस्सा यह है कि सवाल इतने स्पष्ट हैं कि कुछ इंटरनेट खोज पसंदीदा टीवी शो, सोडा, बीयर, अभिनेता इत्यादि की सूचियां ला सकती हैं जो अधिक लक्षित अनुमान लगाने में मदद करती हैं। लेखकों ने लिखा, "भौगोलिक डेटा" आपकी पसंदीदा स्पोर्ट्स टीम क्या है, "जैसे प्रश्नों के साथ मदद करता है।

" हमारे नतीजे हमें विश्वास नहीं देते कि आज के व्यक्तिगत प्रश्न पर्याप्त प्रमाणीकरण रहस्य बनाते हैं। " "जो अनुमान लगाने में कठोर हैं, वे उपयोगकर्ताओं द्वारा पहली जगह चुने जाने की संभावना कम हैं, और जब चुने जाते हैं तो उन्हें याद रखने की संभावना कम होती है।"

हालांकि याहू ने एक समय में सबसे यादगार सेट प्रस्तुत किए थे, अध्ययन के प्रतिभागी छह महीने के भीतर अपने स्वयं के जवाब भूल गए। लेखकों ने लिखा है कि याहू ने अपने सभी नौ प्रमाणीकरण सवालों को फरवरी में बदल दिया था।

समस्या का कोई आसान समाधान नहीं है। कई अन्य वेबसाइटें किसी व्यक्ति को सत्यापित करने के लिए किसी व्यक्ति के खाते में ई-मेल भेजने पर निर्भर करती हैं, लेकिन चूंकि ई-मेल खाते को स्वयं सत्यापित करने की आवश्यकता होती है, इसलिए यह एक समस्या उत्पन्न होती है।

सांख्यिकीय आकलन हमलों को रोकने के लिए एक संभावित समाधान उनकी लोकप्रियता के आधार पर गलत प्रतिक्रियाओं को दंडित करना होगा। जुर्माना का आकार, लेखक लिखते हैं, सही उपयोगकर्ता प्राप्त करने से पहले कई लोकप्रिय उत्तरों के साथ प्रतिक्रिया करने वाले वैध उपयोगकर्ता के मौके पर निर्भर करेगा।

अध्ययन में डेटा से पता चलता है कि यदि कोई व्यक्ति किसी प्रश्न के लिए दो लोकप्रिय प्रतिक्रियाओं का गलत अनुमान लगाता है, उन्हें शायद ही कभी तीसरा प्रश्न मिलता है।

साथ ही, लेखक उन प्रश्नों को खत्म करने की सलाह देते हैं जो सांख्यिकीय रूप से अनुमानित 10% से अधिक अनुमानित हैं, जैसे कि "आपका पसंदीदा शहर क्या है?" उन्होंने सांख्यिकीय रूप से अनुमान लगाने योग्य के रूप में एक उत्तर परिभाषित किया है, यदि यह उनके अध्ययन में अन्य प्रतिभागियों द्वारा प्रदान किए गए पांच सबसे लोकप्रिय उत्तरों में से एक है।

एक अन्य प्रमाणीकरण तंत्र किसी व्यक्ति के ई-मेल प्रदाता द्वारा भेजे गए एक एसएमएस (लघु संदेश सेवा) हो सकता है मोबाइल फोन। लेकिन इससे सुरक्षा प्रश्न भी सामने आते हैं, क्योंकि फोन चोरी हो जाते हैं और खो जाते हैं, और एसएमएस ट्रांसमिशन में सुरक्षा चिंताओं होती है, उन्होंने लिखा।

अध्ययन स्टुअर्ट स्कीटर और एजे द्वारा लिखा गया था। कार्नेगी मेलॉन विश्वविद्यालय के माइक्रोसॉफ्ट रिसर्च और सर्ज एगेलमैन के बेरहेम ब्रश।