Nieuws
image

Geheime vraag eenvoudig te raden

donderdag 11 maart 2010, 15:57 door Redactie, 21 reacties

De geheime vraag die consumenten voor hun online accounts instellen is eenvoudig te raden, zo hebben Britse onderzoekers ontdekt. Dit soort vragen fungeren vaak als backup in het geval gebruikers hun wachtwoord zijn vergeten. Onderzoekers van de Universiteit van Cambridge hebben nu laten zien dat aanvallers die drie kansen krijgen, 1 op de 84 geheime vragen weten te beantwoorden. "Het getal is slechter dan we dachten", zegt hoofdonderzoeker Joseph Bonneau. De onderzoekers analyseerden 270 miljoen combinaties van voor- en achternamen voordat ze tot hun conclusie kwamen.

Sommige aanbieders van online diensten geven gebruikers drie kansen en locken dan het account voor een bepaalde tijd. Toch biedt deze oplossing geen 100% bescherming, zoals ook Sarah Palin overkwam. Een aanvaller wist via publieke informatie het antwoord op haar geheime vraag te achterhalen en kreeg zo toegang tot het Yahoo! account van de Republikeinse kandidaat-vice-president.

Raden
Is de aanvaller een bekende van het slachtoffer, dan wordt de vraag in 17% van de gevallen juist beantwoord. Een mogelijke oplossing is het stellen van niet één vraag, maar drie. "De kans dat je drie dingen tegelijkertijd raadt is behoorlijk klein", aldus Bonneau.

Reacties (21)
11-03-2010, 16:06 door Anoniem
ja en water is nat.
dit is echt de meest oude truc uit de doos

-mystic^
11-03-2010, 16:24 door Anoniem
Als je dan toch perse zo'n onzinnige vraag moet instellen (moet, e niet "mag"), kun je beter een fout antwoord opgeven. "Wat is de meisjesnaam van je moeder": in het echt Janssen, maar je geeft op hsdaegkfk&^%. Laat een hacker dat maar "raden".
11-03-2010, 16:47 door Anoniem
hmm, als je de kennis hebt om 1 vraag goed te beantwoorden zullen de 2 andere vragen ook niet zo moeilijk meer zijn
11-03-2010, 16:55 door Anoniem
Door Anoniem: Als je dan toch perse zo'n onzinnige vraag moet instellen (moet, e niet "mag"), kun je beter een fout antwoord opgeven. "Wat is de meisjesnaam van je moeder": in het echt Janssen, maar je geeft op hsdaegkfk&^%. Laat een hacker dat maar "raden".

Daarom geef ik als antwoord op zo'n vraag ook altijd mijn actief wachtwoord :-)
11-03-2010, 17:06 door Anoniem
Sommige 'geheime vragen' kunnen gemakkelijk beantwoord worden aan de hand van informatie die terug te vinden is in profielen op sociale netwerken zoals Facebook of LinkedIn wanneer mensen hun profiel niet afschermen voor mensen buiten hun directe netwerk. Wat dat betreft is het begrip 'geheim' betrekkelijk relatief.
11-03-2010, 17:29 door Anoniem
geheime vragen zijn niet meer van deze tijd.
11-03-2010, 18:12 door [Account Verwijderd]
[Verwijderd]
11-03-2010, 18:16 door [Account Verwijderd]
[Verwijderd]
11-03-2010, 19:26 door Anoniem
IK doorzie de graduaties van de comments niet. Sommige zijn -1, -2 anderen +1 en anderen weer +0 (wordt hier de neutraliteit van het cijfer 0 in twijfel getrokken?)

Ik mis de onderbouwing of ben gewoon niet instaat om de achterliggende motivatie te doorgronden.
11-03-2010, 19:59 door Preddie
Door unaniem:
Door Anoniem: Ja en water is nat.
Dit is echt de oudste truc uit de doos.

-mystic^

Alsof jij zo modern bent.

is dit niet een reactie die een beetje ondermaat is en zonder fundamentele basis is uitgesproken?

ik ben het namelijk geheel eens met mystic^, buiten het raden van wachtwoorden is het raden van de vraag die naar het wachtwoord refereert, 1 van de oudere maar veel gebruikte technieken om ongeautoriseerd toegang te krijgen tot een account. Helaas wordt de "wachtwoordvraag" de dag nog door veel mensen gebruikt, sommige mensen zullen hier nadelige gevolgen van ondervinden en andere zullen hier niks van merken. Het gaat er om hoe je met de geheime vraag omgaat en hoe je je wachtwoord gekozen hebt en vooral dit laatste is de doorslaggevende factor.

Wanneer men als wachtwoord de naam van een familielid kiest is men al fout begonnen. Wanneer men vervolgens de geheime vraag serieus naar waarheid gaat invullen wordt de kans dat het geraden wordt alleen maar groter. Een sterk wachtwoord is dus ook in dit geval essentieel.
11-03-2010, 20:17 door [Account Verwijderd]
[Verwijderd]
11-03-2010, 20:39 door Anoniem
42
11-03-2010, 21:47 door MrBil
unaniem, Mystic is zekers weten modern ;-) geloof mij
11-03-2010, 22:28 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 09:29 door Anoniem
Geheime vragen slaan nergens op.
Gewoon het wachtwoord sturen naar het geregistreerde emailadres.
12-03-2010, 10:12 door Anoniem
Door Anoniem: Geheime vragen slaan nergens op.
Gewoon het wachtwoord sturen naar het geregistreerde emailadres.
Moeten we alleen nog met S/MIME gaan spelen of zoiets, en iets doen aan hergebruik e-mail adressen.
12-03-2010, 12:34 door [Account Verwijderd]
[Verwijderd]
12-03-2010, 13:44 door Anoniem
Ach dit is een algemeen probleem wereldwijd.
Iedere standaard gebruiker en thuisgebruiker, kiest voor een zeer makkelijk wachtwoord om nooit meer te hoeven wijzigen.
Als systeembeheerder kom je TE VAAK dezelfde wachtwoorden tegen indien er niets is ingesteld.
In 2010 blijken er nog altijd gebruikers te zijn die inloggen met Welkom2009, 2008 of zelfs 2007, de standaard wachtwoorden bij een reset van het account.

Want stel je voor dat je op je werk OOK nog eens na moet gaan denken aan een veilig wachtwoord!?!?!?
15-03-2010, 09:46 door Anoniem
Ik ben het eens met Mystic^. (En zijn stukje leest veel fijner dan die van unaniem)
Maar toch vind ik het een nuttig artikel. Het kan nooit kwaad om voor de goegemeente een oude wijsheid te herhalen. Bovendien zit er wel degelijke een beetje nieuws in: het lukt vaker dan de onderzoekers hadden verwacht. Getallen zoals "1 op de 84" zijn machtige wapens als je managers wilt overtuigen en handig als je zelf een test wilt uitvoeren.
16-03-2010, 05:36 door Rene V
Door Anoniem: "Wat is de meisjesnaam van je moeder": in het echt Janssen, maar je geeft op hsdaegkfk&^%. Laat een hacker dat maar "raden".


Dat is leuk en wel, maar weet jij na bijv. een jaar, wanneer je je ww om wat voor reden dan ook, kwijt of vergeten bent, dat hsdaegkfk&^% het antwoord is op de geheime vraag? Dan moet je wel een uitmuntend fotografisch geheugen hebben, lijkt mij. ;-)
16-03-2010, 09:53 door Anoniem
En de antwoorden op de verschillende geheime vragen zijn eenvoudig online te vinden.
Als je weet om welke vraag het gaat zijn de antwoorden dus binnen handbereik.
Zie http://www.crypsys.nl/nl/crypsys-blog/29-crypsys-blog/345-secret-questions-online
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search