Il mio account Yahoo è stato violato e sono molto preoccupato del perché. Hanno detto che ero più sicuro dopo aver rimosso le mie ulteriori domande di sicurezza. È corretto?
Divulgazione: lavoro per AgileBits, i creatori di 1Password, un gestore di password.
Le domande di sicurezza sono terribili. Infatti, praticamente tutti quelli che studiano chiamano le domande di insicurezza.
Prima di tutto le domande di sicurezza sono un altro modo nel tuo account. Ma paragoniamo le loro proprietà di sicurezza con le password.
Le risposte di sicurezza non sono segrete
Il nome da nubile di mia madre non è un segreto. Né è la strada dove vissi da bambino, né sono tante le altre cose che vengono abitualmente richieste. Certo, alcuni potrebbero non essere di dominio pubblico, ma se devo usare il secondo nome di mio padre, non voglio essere responsabile di mantenere quel segreto in futuro.
Le domande di sicurezza sono archiviate non crittografate
Le password devono corrispondere esattamente perché sono tipicamente sottoposte a hash, ma le domande di sicurezza vengono guardate dagli umani, quindi se ho risposto "walter" al secondo nome di mio padre (vedi, non è più un segreto), mi sarebbe permesso di nuovo con "Walter". Ma in termini di password quasi non conta:
$ echo walter | shasum
95ea07881ac3ffe8602879232682052c3e93b6d8 -
$ echo Walter | shasum
f82f03f4a76873ff4ae41d6609b99f258a647b82 -
E così le domande di insicurezza sono archiviate in chiaro. Yahoo! ha fatto un buon lavoro usando bcrypt per hash le password (rendendo più difficile per le persone che hanno rubato quegli hash per fare supposizioni alle password), ma i ladri hanno ottenuto le domande sulla sicurezza.
Questo significa anche che le persone che gestiscono il sistema conoscono anche le tue domande e risposte sulla sicurezza. Non sono solo i ladri esterni, ma anche quelli interni che possono apprenderli.
Le domande di insicurezza sono ancora più probabili da riutilizzare rispetto alle password.
Le persone che si sono impossessate delle domande di insicurezza (e delle risposte) ora possono usare quelle risposte per attaccare il tuo account su altri siti per cui usi quelle risposte. Se dai il tuo secondo nome a tuo padre come "walter" su un sito, è probabile che tu dia la stessa risposta alla stessa domanda su un altro.
Questo, ovviamente, è vero per le password, motivo per cui dovresti usare una password separata per ogni sito e servizio. Se hai usato una password abbastanza decente, l'uso di bcrypt da parte di Yahoo significa che molte password ragionevolmente potenti rimarranno indifese. Quindi i cattivi potrebbero non sapere il tuo Yahoo! password, ma conoscono le risposte alle domande di sicurezza. (Ma non usare le cose che vorresti mantenere segrete per questioni di sicurezza. Ricorda che nel caso migliore solo le persone che gestiscono il servizio le vedranno.
Le domande di sicurezza (risposte) sono meno varie delle password.
I nomi di 100 animali domestici più comuni sono quasi certamente più comuni delle 100 password più comuni.
Quasi tutti i problemi relativi alle domande di sicurezza sopra elencati sono una conseguenza di ciò che sono progettati per fare. Sono progettati per essere cose che già ricordi (invece di una cosa nuova che devi ricordare come una password .e ricordi queste cose perché sono la verità. Quindi le cose vere su di te hanno meno probabilità di essere segrete e ci sono molte più modi di mentire che dire la verità, quindi il problema inerente alle domande di insicurezza deriva dal loro design.
Sono citato in un un recente articolo su WIRED che copre questi e punta anche ad altre risorse.
Da quello che ricordo, tutte le domande che sono state archiviate in chiaro sono state contrassegnate per la rimozione. Tutto ciò si ricollega alle informazioni appena pubblicate. Quindi in questo caso (e in realtà nella maggior parte dei casi), sì, SEI SEI più sicuro rimuovendoli.
Bene, in alcuni casi, se stai usando domande facili che le persone possono solo Google / sapere su di te. Vai con 2 Factor molto meglio anche tu puoi usare un generatore di password per creare le chiavi da usare per le domande di sicurezza. Spero che questo ti aiuti.
Leggi altre domande sui tag passwords secret-questions