image

Google schiet gaten in gebruik van geheime vraag

donderdag 21 mei 2015, 15:27 door Redactie, 11 reacties
Laatst bijgewerkt: 21-05-2015, 15:49

Het gebruik van alleen een geheime vraag om een vergeten wachtwoord te resetten is onveilig en moet dan ook worden vermeden, zo stelt Google aan de hand van eigen onderzoek (pdf). Veel websites gebruiken nog altijd de geheime vraag als manier voor gebruikers om toegang tot hun account te krijgen als ze de inloggegevens zijn vergeten. Het probleem van de geheime vraag is dat aanvallers kunnen proberen om het antwoord te raden en zo het wachtwoord te resetten.

Zo bleek dat een aanvaller met de geheime vraag van Engelstalige gebruikers "wat is je favoriete maaltijd" 19,7% kans heeft om die in één keer te raden. Het antwoord is "pizza". Met tien pogingen heeft een aanvaller 24% kans om de vraag "wat is de naam van je eerste leraar" bij Arabisch sprekende gebruikers te beantwoorden. Met een zelfde aantal pogingen heeft een aanvaller 21% kans om de vraag van Spaanstalige sprekers, "wat is de middelste naam van je vader", te beantwoorden. In het geval van Koreanen leveren tien pogingen een succesratio van 39% op met de vraag "in welke stad ben je geboren" en 43% met de vraag wat het lievelingseten is.

Verder bleek dat veel gebruikers identieke antwoorden op geheime vragen hadden waarvan wordt aangenomen dat ze juist zeer veilig zijn, zoals "wat is je telefoonnummer" en "wat is je airmilesnummer". In dit geval bleek dat 37% van de mensen opzettelijk verkeerde informatie invult met het idee dat dit het antwoord lastiger te raden maakt. Het onderzoek, waarvoor Google honderden miljoenen geheime vragen en antwoorden analyseerde, laat ook zien dat 40% van de Engelstalige gebruikers het antwoord op de geheime vraag niet meer weet als ze die moeten invullen.

Ongeschikt

Volgens de onderzoekers toont het onderzoek dat de geheime vraag eigenlijk ongeschikt is om wachtwoorden te resetten en zowel websites als gebruikers goed moeten nadenken of ze geheime vragen wel willen gebruiken. Google zegt dat het de geheime vraag niet als een losstaande manier gebruikt om wachtwoorden te resetten. Verder moeten eigenaren van websites andere authenticatiemethodes gebruiken, zoals sms-codes of een tweede e-mailadres. "Dat is zowel veiliger als gebruiksvriendelijker", concludeert Elie Bursztein van Google.

Image

Reacties (11)
21-05-2015, 15:43 door Anoniem
Google daarentegen blijft maar zeuren om meer informatie zoals telefoonnummers, en blokkeert om het minste of geringste imap zodat je weer via hun webinterface moet inloggen waarna ze nog maar weer eens om allerlei extra informatie zeuren. Ik gebruik ze dan ook in het geheel niet meer.
21-05-2015, 15:55 door Anoniem
Het probleem is de voorspelbaarheid van de vragen. Veel vragen zijn door social engineering of googling gewoon te beantwoorden: "Wat is de geboortestad van je ma/pa", "Wat is de naam van je lagere school" enz.
Dit is een van de redenen waarom zoveel hollywood sterren zijn gehacked. Hun antwoorden zijn te vinden op wikipedia, imdb of hun eigen websites.

Als je de vragen nu ook zelf kan bepalen dan is het vinden van het antwoord een stuk moeilijker. Zoals "Welk land zal ik nooit bezoeken?", "Dit eet ik nooit meer" of "Mijn favorite boek is"
21-05-2015, 16:34 door User2048
Het onderzoek, waarvoor Google honderden miljoenen geheime vragen en antwoorden analyseerde, laat ook zien dat 40% van de Engelstalige gebruikers het antwoord op de geheime vraag niet meer weet als ze die moeten invullen.
Herkenbaar. Ik heb net nog een account laten resetten omdat ik de antwoorden op zulke vragen niet meer wist. ("Wat was uw eerste telefoonnummer?" - Had ik nou een streepje na het kengetal gebruikt? "Wat was uw eerste auto?" - Had ik het merk en het model gebruikt, of alleen het model? Met een hoofdletter?) Kansloos ;-)
21-05-2015, 20:36 door vimes
Door Anoniem:
Als je de vragen nu ook zelf kan bepalen dan is het vinden van het antwoord een stuk moeilijker. Zoals "Welk land zal ik nooit bezoeken?"...
Kijk dat is nu precies de denkfout die de mensen maken. Hoeveel landen zijn er? Een stuk of 250, kortom die geheime vraag is binnen 250 pogingen geraden.
21-05-2015, 20:44 door Anoniem
40% van de Engelstalige gebruikers het antwoord op de geheime vraag niet meer weet als ze die moeten invullen.

Als mijn vrouw weer eens voor de zoveelste keer het antwoord vraagt op de geheime vraag
scoor ik 0,002% bij stap1
De overige 99,99,8% volgt bij stap2
Ik weet het echt niet meer wanneer ik je voor het laatst ontrouw ben geweest.
Een 100% false positive uiteraard.
Wat ooit begon als een onschuldig man in the middle attack'je
(2 leuke meiden, te veel drank, ik) op een tupperware feestje.
Dat kleine wormpje uit die fles Mascal werd een virus in me.
Heeft zich genesteld in mijn Mbr en is gegroeid tot een Malware die ik niet meer
uit mijn Os krijg. Shame on me.

Heeft niets met security te maken, maar zie toch wel enige overeenkomsten
21-05-2015, 22:00 door Anoniem
Flauwekul! Mijn geheime vraag is: Geboortestad. De kans dat iemand het antwoord weet is nul want ik ben in een dorp geboren.
22-05-2015, 08:02 door Anoniem
Door Anoniem: Flauwekul! Mijn geheime vraag is: Geboortestad. De kans dat iemand het antwoord weet is nul want ik ben in een dorp geboren.

50% kans
Dat moet 's Gravenhagen zijn of Den Haag
22-05-2015, 08:56 door Anoniem
Vraag: Wat is mijn roepnaam?
Antwoord: Niemand weet, niemand weet, dat ik Repelsteeltje heet!
22-05-2015, 09:10 door Anoniem
Door Anoniem: ...
Ik weet het echt niet meer wanneer ik je voor het laatst ontrouw ben geweest.
...

Dat, of het antwoord veranderdt regelmatig ... :D
22-05-2015, 14:13 door Anoniem
Ik laat een wachtwoordgenerator het antwoord op mijn geheime vraag genereren.

Een andere oplossing, die je nu natuurlijk niet meer moet gebruiken, is de naam van de site gebruiken.

Peter
22-05-2015, 21:37 door Anoniem
Door Anoniem:
50% kans
Dat moet 's Gravenhagen zijn of Den Haag
Hoe weet jij dat? :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.