JavaScript Security: Hide your Code?
حتى إذا كان زوجك لا يعرف كلمة المرور الخاصة بك ، فربما يعرف / تها معلومات كافية للحصول عليها
. ما يسمى "السؤال السري" كآلية تحقق لإعادة تعيين كلمة مرور الحساب. لكن الإجابة غالباً ما تكون سهلة التخمين من قبل أشخاص آخرين يعرفون صاحب الحساب ، وفقاً لدراسة جديدة سيتم إصدارها خلال ندوة IEEE حول الأمن والخصوصية هذا الأسبوع في أوكلاند ، كاليفورنيا.
في حالات أخرى ، يمكن للغرباء توفير الإجابات على بعض الأسئلة ، وهي كيف فقدت سارة بالين المرشحة الجمهورية لمنصب نائب الرئيس السيطرة على حسابها على ياهو. وقال الطالب الجامعي المتهم بإدارة الحساب ، ديفيد كيرنيل ، إن الأمر استغرق أقل من ساعة من البحث على الإنترنت للتوصل إلى الإجابات الصحيحة للأسئلة الأمنية الخاصة بحساب بالين. Windows PC]
نظرت الدراسة في الأسئلة التي استخدمتها ياهو وغوغل ومايكروسوفت و AOL في مارس 2008. وفي اختبار واحد ، قام الباحثون بربط شخصين معًا ، حيث قال صاحب حساب البريد الإلكتروني إنه لن يثق في الآخر الشخص بكلمة المرور الخاصة به. عند طرح السؤال السري لصاحب الحساب ، خمن الشخص الآخر ذلك بنسبة 17٪ من الوقت.من بين شخصين يثقان ببعضهما البعض ، تمكن أحد الشركاء من تقديم الإجابة الصحيحة لحساب Hotmail بنسبة 28 بالمائة من الوقت. قالت الدراسة
حتى مع الأسئلة التي يكتبها مستخدم - النظام الذي تستخدمه Google الآن - يمكن لشخص غريب تمامًا أن يخمن الإجابة بنسبة 15 بالمائة من الوقت في خمس محاولات.
جزء من المشكلة هو أن الأسئلة غير واضحة لدرجة أن القليل من البحث على الإنترنت يمكن أن يقدم قوائم بالبرامج التلفزيونية المفضلة ، والمشروبات الغازية ، والبيرة ، والممثلين ، وما إلى ذلك التي تساعد على جعل التخمين أكثر استهدافًا ممكنًا. كذلك ، تساعد البيانات الجغرافية في طرح أسئلة مثل "ما هو فريقك الرياضي المفضل" ، كما تقول الدراسة.
"لا تعطينا نتائجنا الثقة بأن الأسئلة الشخصية التي نطرحها اليوم تجعل المصادقة سراً". "من الصعب تخمين تلك التي يصعب اختيارها من قبل المستخدمين في المقام الأول ، وعندما يتم اختيارهم من غير المرجح أن يتم تذكرهم."
على الرغم من أن ياهو قدمت في وقت واحد مجموعة من الأسئلة لا تنسى في ذلك الوقت نسي المشاركون في الدراسة إجاباتهم الخاصة في غضون ستة أشهر. كتب المؤلفون أن Yahoo استبدلت تسعة أسئلة مصادقة شخصية في فبراير.
ليس هناك حل سهل للمشكلة. تعتمد العديد من مواقع الويب الأخرى على إرسال بريد إلكتروني إلى حساب شخص ما للتحقق من شخص ما ، ولكن بما أن حساب البريد الإلكتروني نفسه يحتاج إلى التحقق منه ، فإنه يمثل مشكلة.
أحد الحلول الممكنة لدرء هجمات التخمين الإحصائية سيكون معاقبة الردود الخاطئة اعتمادا على شعبيتها. إن حجم العقوبة ، كما يكتب المؤلفون ، سيعتمد على فرصة أن يستجيب المستخدم الشرعي بإجابات شائعة متعددة قبل أن يحصل على الإجابة الصحيحة.
تشير البيانات في الدراسة إلى أنه إذا خمّن شخصًا ردين شعبيين بشكل غير صحيح لسؤال ما نادرًا ما يحصل على سؤال ثالث صحيح.
أيضًا ، يوصي المؤلفون بإزالة الأسئلة التي يمكن أن تكون قابلة للتقييم من الناحية الإحصائية أكثر من 10 بالمائة من الوقت ، مثل "ما هي مدينتك المفضلة؟" وقد حددوا الإجابة بأنها قابلة للإحصاء من الناحية الإحصائية إذا كانت من بين الإجابات الخمسة الأكثر شعبية التي قدمها المشاركون الآخرون في دراستهم.
آلية مصادقة أخرى يمكن أن تكون رسالة نصية قصيرة (خدمة الرسائل القصيرة) التي يرسلها مزود البريد الإلكتروني إلى الشخص تليفون محمول. ولكن هذا يطرح أيضا أسئلة أمنية ، حيث أن الهواتف المسروقة والمفقودة ، وأن إرسال الرسائل النصية القصيرة له مخاوف أمنية ، كما كتبوا.
تمت كتابة الدراسة بواسطة ستيوارت شيشتر و A.J. Berheim فرشاة من Microsoft Research و Serge Egelman من جامعة Carnegie Mellon.
Trojan Lurks، Waiting to Steal Admin Passwords
استخدم برنامج Coreflood Trojan أداة إدارية من Microsoft لإصابة شبكات الشركات.
Study: Nintendo Brain Games Don't Trump Pencils
DS Lite، Brain Age will make you any smarter than working the same problems بالقلم والقلم ، وفقاً لدراسة جديدة.
Study: Adobe Flash Cookies Pose Vexing Privacy questions
Adobe Flash program is been used on a wide range of high-profile web sites to collect معلومات حول كيفية تنقل الأشخاص في هذه المواقع.