Az elfelejtett jelszavak kockázatai

Egyes webes szolgáltatásoknál, főleg az ingyenes levelezőmegoldásoknál gyakran használatos eszköznek számítanak a biztonsági kérdések. Amennyiben a felhasználó elfelejti a jelszavát, akkor a rendszer felteszi számára az előre beállított kérdést, és leellenőrzi a megadott válasz helyességét. Ez a módszer első ránézésre hatékony lehet, de korántsem minden esetben biztonságos. Legalábbis ez derül ki abból a tanulmányból, amelyet Stuart Schechter és A.J. Berheim Brush a Microsoft Research munkatársai, valamint Serge Egelman a Carnegie Mellon Egyetem kutatója készítettek.

A szakemberek a tanulmány elkészítése során elsősorban arra voltak kíváncsiak, hogy a biztonsági kérdések miként befolyásolják egy rendszer védelmi szintjét. Kiderült, hogy bizony akadnak olyan esetek, amikor a biztonsági kérdések alkalmazása kifejezetten kockázatos. Elég csak arra gondolni, hogy a jelszavak esetében sem célszerű a családban előforduló neveket, a kutya vagy macska nevét, illetve a születési, stb. dátumokat felhasználni. A biztonsági kérdések azonban pont ilyen, meglehetősen általános témákra épülnek, ami a kockázatukat növeli. A problémát tovább fokozza, hogy a mai világban sokszor egyáltalán nem nehéz kideríteni, hogy kinek mi a kedvenc állata, mikor született, stb., hiszen a közösségépítő weboldalakon a felhasználók előszeretettel adnak meg magukkal kapcsolatban ilyen információkat. A tanulmány készítői pedig arra is felhívták a figyelmet, hogy a támadóknak a születési, tartózkodási hellyel kapcsolatos adatok is sokat segíthetnek, hiszen a postafiókok feltörésére specializálódott személyek először biztosan a helyi csapat nevét próbálják ki, egy olyan kérdésre, hogy "Mi a kedvenc focicsapata?"

A biztonsági kérdésekben rejlő kockázatokat jól mutatja Sarah Palin alaszkai kormányzó nem is olyan régen megtörtént esete, amikor egy egyetemi hallgató kevesebb, mint egy óra alatt megtalálta a helyes választ a Palin által beállított kérdésre, és néhány pillanat alatt teljes mértékben átvette az uralmat a kormányzó Yahoo postafiókja felett.

A kutatók arra a következtetésre jutottak, hogy nem lehetünk bizonyosak abban, hogy napjaink biztonsági kérdései megfelelő módon biztosítják a hitelesítés védelmét. Azonban azt is elismerték, hogy a probléma nem orvosolható egyszerűen. Elsősorban azt kell elkerülni, hogy a statisztikai alapú támadások meggátolhatók legyenek, miközben a próbálkozások számának figyelésével is foglalkozni kell. Egy másik lehetőség az SMS-alapú azonosítás, amikor a szolgáltató egy kódot küld a hitelesítéshez a felhasználó mobiljára. Ez azonban az ingyenes szolgáltatások esetében a költségek miatt problémás lehet, nem beszélve arról, hogy az elvesztett vagy eltulajdonított telefonokkal való visszaélések számát is növelheti.

A legfontosabb, hogy a biztonsági kérdések alkalmazása esetén mindig arra kell törekedni, hogy a megadandó válaszok megfelelően biztonságosak legyenek.

A hír a Computerworld.hu biztonság rovatában jelent meg.