Studie: Hemliga frågor skyddar inte lösenord

Även om din make inte känner till ditt e-postlösenord, vet han eller hon tillräckligt med information för att få det.

Gratis e-postleverantörer presenterar ofta en så kallad "hemlig fråga" som en verifieringsmekanism för att återställa ett lösenord för kontot. Men svaret är ofta lätt att gissa av andra som känner till kontoinnehavaren, enligt en ny studie som ska släppas under IEEE Symposium om säkerhet och integritet denna vecka i Oakland, Kalifornien.

I andra fall kan främlingar framgångsrikt leverera Svaren på några frågor, vilket är hur republikansk vice presidentpresident Sarah Palin förlorade kontrollen över hennes Yahoo-konto. Den universitetsstudent som anklagades för att kommandöra kontot, David Kernell, sa att det tog mindre än en timmes forskning online att hitta rätt svar på säkerhetsfrågorna för Palins konto.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows PC]

Studien tittade på de frågor som användes av Yahoo, Google, Microsoft och AOL i mars 2008. I ett test samordnade forskarna två personer tillsammans, med e-postkontoinnehavaren säger att de inte skulle lita på den andra person med sitt lösenord När den presenterades med kontoinnehavarens hemliga fråga gissade den andra personen rätt 17 procent av tiden.

Bland två personer som litar på varandra kunde en partner leverera rätt svar för ett Hotmail-konto 28 procent av tiden, säger studien.

Även om frågor skrivits av en användare - det system som Google nu sysslar med - kan en komplett främling gissa svaret 15 procent av tiden inom fem försök.

En del av problemet är att frågorna är så smutsiga att en bit av Internet-sökning kan ge upp listor över favorit-TV-program, sodavatten, öl, skådespelare etc. som hjälper till att göra mer målinriktad gissning möjlig. Även geografiska data hjälper till med frågor som "Vad är ditt favoritsporterlag", säger studien.

"Våra resultat ger oss inget förtroende för att dagens personliga frågor ger en adekvat autentiseringshemlighet", skrev författarna. "De som är svåra att gissa är mindre benägna att bli utvalda av användarna i första hand, och när de väljs är de mindre troliga att komma ihåg."

Även om Yahoo samtidigt presenterade den mest minnesvärda uppsättningen frågor vid den tiden, glömde studiedeltagarna sina egna svar inom sex månader. Författarna skrev att Yahoo ersatte alla nio av sina personliga autentiseringsfrågor i februari.

Det finns ingen enkel lösning på problemet. Många andra webbplatser beror på att du skickar ett e-postmeddelande till en persons konto för att verifiera en person, men eftersom e-postkontot själv måste verifieras är det ett problem.

En möjlig lösning för att avvärja statistiska gissningsattacker skulle vara att bestraffa felaktiga svar beroende på deras popularitet. Böternas storlek, författarna skriver, beror på chansen att den legitima användaren svarar på flera populära svar innan man får den rätta.

Data i studien föreslår att om en person felaktigt gissar två populära svar på en fråga, de får sällan en tredje fråga rätt.

Författarna rekommenderar också att du eliminerar frågor som är statistiskt gissningsbara mer än 10 procent av tiden, till exempel "Vad är din favoritstad?" De definierade ett svar som statistiskt gissningsbart om det är bland de fem mest populära svaren från andra deltagare i deras studie.

En annan autentiseringsmekanism kan vara ett SMS (Short Message Service) som skickas av e-postleverantören till en persons mobiltelefon. Men det ställer också säkerhetsfrågor, eftersom telefoner är stulna och förlorade, och SMS-överföring har säkerhetsproblem, skrev de.

Studien skrevs av Stuart Schechter och A.J. Berheim Brush of Microsoft Research och Serge Egelman från Carnegie Mellon University.