Pourquoi vous répondez mal aux questions de sécurité par mot de passe

Publicité

Lorsque nous nous inscrivons à un nouveau service en ligne, il nous est invariablement demandé de créer un mot de passe. Cela sécurise immédiatement le nouveau compte. Si vous êtes sensé, vous choisissez une longue chaîne complètement aléatoire, ou laissez une application de gestion des mots de passe faire le travail Le guide complet pour simplifier et sécuriser votre vie avec LastPass et XmarksAlors que le cloud signifie que vous pouvez facilement accéder à vos informations importantes où que vous soyez, cela signifie également que vous avez beaucoup de mots de passe à suivre. C'est pourquoi LastPass a été créé. Lire la suite pour toi. Ensuite dans la séquence vient les questions de sécurité.

Ces questions demandent généralement le nom de jeune fille de votre mère, le nom de votre école primaire, le nom de votre premier animal de compagnie, etc. Conçues pour protéger nos comptes contre les pirates potentiels, les questions de sécurité devraient servir de ligne de défense supplémentaire.

Comment répondez-vous à ces questions? Dites-vous la vérité, toute la vérité et rien que la vérité? Malheureusement, votre véracité pourrait créer une faille inattendue dans votre armure en ligne. Voyons exactement comment vous devrait répondre à ces questions.

Une barrière de protection

Les conseils de mot de passe sont sans aucun doute utiles. Un conseil utile s'affichera si vous oubliez votre mot de passe Windows. Et ce n'est qu'après une seule tentative infructueuse. Dans le cas du mot de passe Windows, votre indice devrait rafraîchir votre mémoire. Il vous rappelle en utilisant un indice que vous avez sélectionné, afin que vous puissiez être aussi cryptique ou ouvert que vous le souhaitez.

Les questions de sécurité sont différentes. Nous sommes régulièrement confrontés aux combinaisons de questions familières que j'ai mentionnées ci-dessus et fournissons volontiers des réponses précises. Les questions de sécurité sont présentées comme une ligne de défense supplémentaire. Cependant, vous devriez considérer la relative facilité à obtenir certaines des réponses dans la société ultra-connectée d'aujourd'hui.

Chercheurs en sécurité ridiculiser régulièrement les questions de sécurité Comment créer une question de sécurité que personne d'autre ne peut devinerCes dernières semaines, j'ai beaucoup écrit sur la façon de rendre les comptes en ligne récupérables. Une option de sécurité typique consiste à configurer une question de sécurité. Bien que cela offre potentiellement un moyen rapide et facile de ... Lire la suite . Pouvons-nous avoir confiance dans une mesure de sécurité dont les réponses peuvent être si facilement découvertes?

Je me trompe?

Les attaquants s'attaquent aux questions faciles Comment repérer et éviter 10 des techniques de piratage les plus insidieusesLes pirates informatiques deviennent plus sournois et bon nombre de leurs techniques et attaques passent souvent inaperçues, même auprès des utilisateurs expérimentés. Voici 10 des techniques de piratage les plus insidieuses à éviter. Lire la suite - couleurs, noms de jeune fille, premiers animaux de compagnie - parce qu'ils sont facilement accessible via les comptes de médias sociaux Comment vous protéger de ces 8 attaques d'ingénierie socialeQuelles techniques d'ingénierie sociale un pirate utiliserait-il et comment vous en protégeriez-vous? Jetons un coup d'œil à certaines des méthodes d'attaque les plus courantes. Lire la suite . Pour aggraver les choses, si votre compte utilise des questions et réponses extrêmement spécifiques, un attaquant peut éliminer d'autres mots de passe potentiels.

Par exemple, si la question de sécurité était "Où avez-vous acheté votre première voiture?" l'attaquant peut ignorer immédiatement d'autres réponses plus faciles.

Je suis sûr que vous avez déjà exploré la solution évidente à ce problème de sécurité. Si l'attaquant cherche une réponse qui vous concerne directement, pourquoi ne pas utiliser quelque chose de complètement différent?

• Quel est le nom de jeune fille de ta mère? fa1c0npunc4
• Où avez-vous rencontré votre épouse? b1cycl3tyr3
• Quel était le nom de votre premier animal de compagnie? n0str0d4mu5

D'accord, ce sont de terribles exemples, mais vous comprenez ma dérive. Si la réponse est a) obscure et b) utilise des caractères aléatoires, vous devrez immédiatement placez la barre de sécurité de vos comptes un peu plus haut Avez-vous pris ces 5 premières étapes pour sécuriser vos comptes en ligne?Il est surprenant de voir combien de personnes ignorent ces bases de la sécurisation en ligne. Ces cinq sites Web et outils facilitent la sécurité en ligne. Lire la suite .

Et cela me rendra sûr?

Plus sûr, ami, mais pas entièrement sûr.

Vous voyez, en 2015, Google a publié un document intéressant explorant les leçons qu'ils ont apprises concernant les questions de sécurité. En utilisant leur ensemble de données presque inégalé pour analyser les questions secrètes posées par leur énorme base d'utilisateurs, ils ont cherché à comprendre à quel point cette couche de sécurité supplémentaire est efficace.

Notre analyse confirme que les questions secrètes offrent généralement un niveau de sécurité bien inférieur aux mots de passe choisis par l'utilisateur. Il s'avère être encore plus faible que ne l'indiqueraient la répartition réelle des noms de famille dans la population.

Étonnamment, nous avons constaté qu'une cause importante de cette insécurité est que les utilisateurs ne répondent souvent pas honnêtement. Un sondage auprès des utilisateurs que nous avons mené a révélé qu'une fraction importante des utilisateurs (37%) qui ont admis avoir fourni de fausses réponses l'ont fait dans le but de les rendre «plus difficiles à deviner», même si, globalement, ce comportement a eu l'effet inverse, car les gens «durcissent» leurs réponses de manière prévisible.

Pourquoi essayons-nous de mentir, mais le faisons-nous si mal? Comme vous pouvez le voir dans le tableau ci-dessus, la majorité des répondants fournissent de fausses réponses avec la conviction que cela augmentera leur sécurité. Nous pouvons alors supposer que le grand public (bien qu'un petit instantané d'une énorme base de données) comprenne que les questions de sécurité peuvent et seront utilisées contre lui.

L'équipe de recherche Google a finalement conclu que les questions de sécurité sont quelque peu sécurisées ou faciles à retenir, mais la combinaison dorée est rare à trouver. Par conséquent, "alors que Google préfère la récupération des SMS et des e-mails, aucun mécanisme n'est parfait."

Un exemple parfait

Malheureusement, Google a refusé de proposer la taille réelle de la base de données utilisée pour l'étude. Cependant, ils ont confirmé que «les données considérées contiennent des centaines de millions de points de données et chaque question analysée avait plus d'un million de réponses. " Chiffres substantiels, compte tenu de leur estimation base d'utilisateur.

En 2016, United Airlines a déployé son nouveau système de sécurité mis à jour pour ses comptes clients. L'ancien système qui reposait sur des NIP à 4 chiffres a été jugé à juste titre inapproprié pour les comptes contenant potentiellement des centaines de milliers de dollars de miles de fidélisation. Le système mis à jour oblige les utilisateurs à saisir un mot de passe unique et à répondre à cinq questions de sécurité personnelle.

Sonne bien, non? Sauf que United Airlines demande à ses clients de choisir un mot de passe unique et fort et de répondre à leurs questions à l'aide d'un ensemble de réponses préétablies. C'est vrai: des réponses préétablies. Par exemple, si vous choisissez la question «Dans quel mois est l'anniversaire de votre meilleur ami», vos attaquants potentiels ont - vous l'aurez deviné - à peine douze réponses à combattre. Moments difficiles.

United raison que «la majorité des problèmes de sécurité auxquels nos clients sont confrontés peuvent être attribués à des virus informatiques qui enregistrent la saisie, et l'utilisation de réponses prédéfinies protège contre ce type d'intrusion».

Chercheur en sécurité, Brian Krebs parlait directement au directeur de la sécurité informatique de United Airlines, Benjamin Vaughn. Vaughn a déclaré que la société «randomisait les questions pour confondre les programmes de robots qui cherchent à automatiser la soumission des réponses, et que les questions de sécurité répondues à tort seraient «verrouillées» et non posées encore."

"Les questions de sécurité sont le moyen le moins sûr de sécuriser quoi que ce soit." Rik Ferguson @TrendMicro# AISA2016

- Tracey Spicer (@TraceySpicer) 19 octobre 2016

En plus de cela, Vaughn a confirmé à Krebs que plusieurs tentatives infructueuses entraîneraient un compte verrouillé. Par conséquent, l'utilisateur doit communiquer directement avec United Airlines pour déverrouiller son compte.

Sagesse conventionnelle

United Airlines a identifié une vulnérabilité de sécurité, mais sa réponse n'a pas entièrement résolu le problème. Comme nous l'avons vu, le seul moyen vraiment sûr de répondre à une question de sécurité est, tout comme un mot de passe, en fournissant quelque chose de vraiment unique et aléatoire. Ceci dans l'espoir que les pirates potentiels seront frustrés par la complexité et passeront au compte suivant.

Il est important de constater que le grand public souffre de la fatigue liée à la sécurité, car cela a des implications sur le lieu de travail et dans la vie quotidienne des gens. C'est essentiel parce que tant de personnes font des transactions bancaires en ligne, et depuis que les soins de santé et d'autres informations précieuses sont transférés sur Internet.

Si les gens ne peuvent pas utiliser la sécurité, ils ne le feront pas, et nous et notre nation ne serons pas en sécurité.

- Psychologue cognitif et Fatigue de sécurité co-auteur, Brian Stanton

Hélas, la fatigue de la sécurité est un problème bien réel. Les utilisateurs sont de plus en plus fatigués. Les failles de sécurité et les réinitialisations forcées de mots de passe sont maintenant si courantes que de nombreux utilisateurs ignorent simplement les alertes. Cette fatigue entraîne un comportement à risque des utilisateurs à la maison et au travail. Nous suggestons:

• Automatiser — Prenez le contrôle de votre sécurité et automatisez les analyses et les sauvegardes Ne payez pas - Comment battre Ransomware!Imaginez simplement que quelqu'un se présente à votre porte et dise: "Hé, il y a des souris dans votre maison que vous ne connaissiez pas. Donnez-nous 100 $ et nous nous en débarrasserons. "Voici le Ransomware ... Lire la suite et plus.
• Gestion des mots de passe — Solutions de gestion des mots de passe disponibles dans LastPass Maîtrisez vos mots de passe pour de bon avec le défi de sécurité de LastpassNous passons tellement de temps en ligne, avec autant de comptes, que se souvenir des mots de passe peut être très difficile. Préoccupé par les risques? Découvrez comment utiliser le défi de sécurité de LastPass pour améliorer votre hygiène de sécurité. Lire la suite ou KeyPass, et ils s'occupent également de vos questions de sécurité.
• Prendre possession - Votre sécurité des données est de votre responsabilité. Nous attendons beaucoup des institutions qui détiennent nos données, et à juste titre. Cela dit, si vous n'imposez pas de mesures de sécurité strictes chez vous, vous partagerez une partie du blâme.

Nous avons écrit abondamment sur la façon de surmonter la fatigue de la sécurité 3 façons de vaincre la fatigue liée à la sécurité et de rester en sécurité en ligneLa fatigue de la sécurité - une lassitude face à la sécurité en ligne - est réelle et elle rend de nombreuses personnes moins sûres. Voici trois choses que vous pouvez faire pour vaincre la fatigue liée à la sécurité et assurer votre sécurité. Lire la suite . Lisez-le et reprenez le contrôle de vos questions de sécurité!

Comment répondez-vous à vos questions de sécurité? Avez-vous atteint le point idéal? Ou utilisez-vous une application de gestion de mot de passe? Faites-nous part de vos conseils sur les questions de sécurité ci-dessous!