回归最本质的信息安全

从雅虎数据泄露事件看安全问题的安全性

2016年10月3日发布

37,682
0
0

导语:使用复杂随机密码的观念几乎已深入人心,只要有安全意识的人都知道使用“password1”“1234567”作为密码是很low的一种方式。

使用复杂随机密码的观念几乎已深入人心,只要有安全意识的人都知道使用“password1”“1234567”作为密码是很low的一种方式。虽然密码的安全度提高了,但是另一个问题随之而来:安全问题。

上周Yahoo被黑客攻击,近5亿用户数据泄露。泄露的数据里不仅包括加盐后的密码,邮箱地址,还有用来重设密码用的安全问题和答案。这些安全问题通常是“你最想去度假的城市?”“你所住街道的名字?”。雅虎的这次事件向我们展示了这些看似平淡无奇的问题着实影响着我们重要的数据。安全社区的人说安全问题应该直接废除,在它没有被废除之前,最好设置虚假的答案。

安全问题已不在安全

Yahoo的这次数据泄露已经证明了安全问题对密码应急机制的不足之处。安全问题的初衷是找回密码的一种方式。假如你忘记了一个复杂的密码,按照安全问题的思路,你不会忘记你母亲的姓氏或者你出生的城市名。但是这些实际的信息在网络上可不是放在什么安全的地方,通过网页或者社交媒体搜索通常会找到某人长大的城市或者第一辆汽车的牌子。

Yahoo这次数据泄露的规模等同于一场生态灾难,这也使得美国联邦政府打算弃用安全问题,7月份时,国家标准技术研究所发表了数字认证导言的草案,不再赞同使用安全问题来作为联邦账号的保护措施。

Yahoo官方称,为了用户的账号安全,我们建议用户禁用掉安全问题。而Google用户想恢复一个账户时,只需要发送短信或者提供备用邮箱。

更改安全问题的答案

所以假如你有Yahoo账号的话,恐怕你需要重新为你的母亲设置一个姓氏或者使用一个新的出生街道名了。

从安全问题转变为其他方式并不容易。目前,其他方式包括发送重设密码的链接到备用邮箱,使用YubiKey提供物理认证,使用安全认证的app提供的实时生成的代码。列举安全问题的缺陷是容易的,但是找到一种好的转变方式是困难的,因为就像现在流行的短信验证的方式都有其自己的缺陷。

主流的网络服务都在转变,但是转变的程度不同。大部分都是在其登录页面展示一个“忘记密码”的链接跳转到更换密码的工具上。Twitter目前完全不使用安全问题来进行账号恢复,FaceBook只在用户无法使用之前设置的备用邮箱或者手机号时,使用安全问题作为找回账号的最后方式,但是FaceBook的安全问题的答案不可更改。Amazon支付也是同样的方式。像Bank of America,TD Bank,Fidelity这些银行仍然采用安全问题技术来实现账号恢复。

既然安全问题还不会那么快消失,可以采取一些措施增强你的安全问题。最好的方式就是对你的安全问题撒谎。你可以使用一串随机字符串来代替有实际意义的信息。

这么做的缺陷是你将更难记住问题的答案,但你可以使用密码管理工具来存储随机生成的复杂密码,也可以存储安全问题答案。

本文参考来源于wired,如若转载,请注明原文地址: http://www.4hou.com/info/attitude/1748.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

暗地月光

暗地月光

嘶吼编辑

发私信

发表评论