Sikkerhedsspørgsmål er usikre

Artiklen blev oprindeligt publiceret den 27/5/2015

En analyse viser, at sikkerhedsspørgsmål der skal forhindre misbrug af systemer, ofte er usikre. Dermed kan angribere ændre ofrenes kontaktoplysninger.

Sikkerhedsspørgsmål bruges typisk, når en bruger ønsker at ændre password. Hvis brugeren har glemt sit password, skal vedkommende i stedet oplyse svaret på et spørgsmål, der blev besvaret, da kontoen blev oprettet.

Forskere fra Google har analyseret hundreder af millioner af spørgsmål og svar, der har været brugt til at sætte nye passwords på Google-konti.

Et typisk spørgsmål kan være ”Hvad er din livret?” Med et enkelt gæt har man 19,7 procent chance for svare korrekt på det, hvis brugeren er engelsktalende. Svaret er ”pizza.”

Får man lov til at gætte ti gange, har man 21 procent chance for at gætte en spansktalende brugers fars mellemnavn.

Så nogle svar er for nemme at gætte. Andre er så svære, at brugerne ikke selv kan huske dem. 40 procent af engelsktalende brugere i USA kunne således ikke huske svaret på deres sikkerhedsspørgsmål, da de havde brug for det.

Forskerne konkluderer, at spørgsmålene hverken er sikre eller pålidelige nok til at blive brugt som den eneste autentifikationsmetode, når passwords skal nulstilles. Det skyldes, at svarene enten er nogenlunde sikre eller lette at huske – men sjældent begge dele.

Anbefaling
Benyt to-faktor-autentifikation med sms-koder eller lignende, hvor det er muligt.

Links

• New Research: Some Tough Questions for ‘Security Questions’, blogindlæg fra Google
• Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google