Jak miało na imię Twoje pierwsze zwierzę?
Jaka jest Twoja ulubiona potrawa?
Jak brzmiało panieńskie nazwisko Twojej matki?


Co wspólnego mają ze sobą te pozornie przypadkowe pytania? Wszystkie są przykładami często używanych pytań zabezpieczających, na które na pewno zdarzyło Wam się już odpowiadać. Wiele internetowych serwisów korzysta z tych pytań, gdy zapominacie hasła dostępu do swojego konta. Używa się ich również jako dodatkowego zabezpieczenia przeciwko podejrzanym logowaniom.

Niestety, mimo powszechnego stosowania pytań zabezpieczających, ich efektywność i rzeczywista ochrona nie zostały dotąd wystarczająco sprawdzone. Ponieważ nieustannie dbamy o poprawę bezpieczeństwa Waszych kont, przeanalizowaliśmy miliony poufnych pytań i odpowiedzi wykorzystywanych w procesie odzyskiwania dostępu do konta Google. Następnie sprawdziliśmy prawdopodobieństwo odgadnięcia tych odpowiedzi przez hakerów.

Nasze spostrzeżenia zawarliśmy w dokumencie zaprezentowanym ostatnio na konferencji WWW 2015. Doprowadziły nas one do wniosku, że poufne pytania nie są wystarczająco niezawodne, aby mogły być używane jako samodzielny mechanizm odzyskiwania haseł do internetowych kont. Są one obarczone podstawową wadą: odpowiedzi na nie są albo bezpieczne, albo proste do zapamiętania, jednak rzadko spełniają oba warunki jednocześnie.

Proste odpowiedzi nie są bezpieczne

Nie jest zaskoczeniem, że łatwe do zapamiętania odpowiedzi są mniej bezpieczne. Zazwyczaj zawierają powszechnie znane albo dostępne dla każdego informacje lub też są jedną z niewielu możliwych odpowiedzi w danym kontekście kulturowym (np. popularne nazwiska w danym kraju).

Poniżej kilka konkretnych przykładów z naszych badań:

  • Haker dokonujący jednej próby ataku na konta anglojęzycznych użytkowników miałby 19.7% szans na odgadnięcie odpowiedzi na pytanie “Jaka jest twoja ulubiona potrawa?” (hasłem tym jest “pizza”).
  • Haker dokonujący 10 prób ataku na konta arabskojęzycznych użytkowników miałby niemal 24% szans na odgadnięcie odpowiedzi na pytanie “Jak nazywał się Twój pierwszy nauczyciel?” 
  • Haker dokonujący 10 prób ataku na konta hiszpańskojęzycznych użytkowników miałby 21% szans na odgadnięcie odpowiedzi na pytanie “Jakie jest drugie imię twojego ojca?” 
  • Haker dokonujący 10 prób ataku na konta koreańskojęzycznych użytkowników miałby 39% szans na odgadnięcie odpowiedzi na pytanie “W jakim mieście się urodziłeś?” oraz 43% szans na odgadnięcie ulubionego dania 

Okazuje się również, że wielu użytkowników ma identyczne odpowiedzi na poufne pytania uznawane powszechnie za bezpieczne np. “Jaki jest twój numer telefonu?” albo “Jaki numer ma twoja karta stałego pasażera?”. Odkryliśmy również, że 37% osób celowo wprowadza błędne odpowiedzi na pytania, uznając że w ten sposób będą one trudniejsze do odgadnięcia. Jednak taka strategia zawodzi, ponieważ najczęściej wpisywane są te same błędne odpowiedzi. Wówczas prawdopodobieństwo dokonania ataku zwiększa się.

Trudne odpowiedzi nie są użyteczne

To oczywiste, że możecie nie pamiętać, gdzie Wasza mama chodziła do szkoły podstawowej albo jaki jest numer Waszej karty bibliotecznej. Poufne pytania, które są skomplikowane, są jednocześnie trudne w użyciu. Tutaj kilka przykładów z badań:

  • 40% anglojęzycznych użytkowników z USA nie potrafiło przypomnieć sobie odpowiedzi na pytanie zabezpieczające. W międzyczasie Ci sami użytkownicy potrafili sobie przypomnieć kody weryfikacyjne do zmiany hasła przesyłane do nich przez SMS (w 80% przypadków) i przez e-mail (75% przypadków)
  • Niektóre z pytań uznawane za potencjalnie bezpieczne np. “Jaki jest numer twojej karty bibliotecznej?” i “Jaki numer ma twoja karta stałego pasażera?”, miały dość niski współczynnik przywołania, odpowiednio 22% oraz 9% 
  • Wśród anglojęzycznych użytkowników z USA proste pytanie “Jakie jest drugie imię twojego ojca?” miało współczynnik przywołania 76%, podczas gdy na potencjalnie bezpieczniejsze pytanie “Jaki był twój pierwszy numer telefonu?”, prawidłowo odpowiedziało zaledwie 55% użytkowników

Może warto zwiększyć liczbę pytań zabezpieczających?


Oczywiście trudniej podać właściwą odpowiedź na dwa lub więcej pytania niż tylko na jedno. Niemniej dodawanie kolejnych pytań nie zawsze jest rozwiązaniem: szanse na odzyskanie w ten sposób dostępu do konta znacznie spadają. Przygotowaliśmy jeszcze jedną analizę, żeby zilustrować ten problem (w rzeczywistości jest tak, że Google nie stosuje wielu pytań zabezpieczających).

Według naszych informacji, “najprostsze” pytanie i odpowiedź to: “W jakim mieście się urodziłeś?” - użytkownicy podają je bezbłędnie w 79% przypadków. Kolejnym przykładem jest “Jakie jest drugie imię twojego ojca?”, podawane bezbłędnie przez 74% użytkowników. Gdyby haker miał 10 prób przechwycenia odpowiedzi na te pytania, jego szanse na odgadnięcie ich wynosiłyby odpowiednio: 6.9% i 14.6%.

Jednak sytuacja komplikuje się, kiedy użytkownicy muszą odpowiedzieć na oba powyższe pytania jednocześnie. Wówczas rozbieżność między bezpieczeństwem a użytecznością pytań zabezpieczających jest jeszcze większa. Wprawdzie prawdopodobieństwo, że haker odgadnie obie odpowiedzi w 10 próbach jest równe tylko 1%, ale za to niepokojąco niski jest odsetek samych użytkowników, którzy pamiętają odpowiedzi na oba pytania - to zaledwie 59%. W rezultacie, większa liczba pytań zabezpieczających utrudnia użytkownikom odzyskiwanie dostępu do swoich kont, więc nie jest korzystnym rozwiązaniem.

Co należy zrobić?

Przez długi czas pytania zabezpieczające były traktowane jako element uwierzytelniania oraz ułatwienie przy odzyskiwaniu dostępu do internetowych kont. Powyższe wnioski powinny jednak dać do myślenia właścicielom serwisów internetowych oraz samym użytkownikom. 

Zachęcamy Was do upewnienia się, że informacje używane przez Was do odzyskiwania danych w serwisach Google, są aktualne. Możecie to szybko i łatwo sprawdzić na naszej stronie z Testem Bezpieczeństwa. Przez lata używaliśmy pytań zabezpieczających jako ostatniej możliwości, kiedy zawodziły próby uwierzytelniania za pomocą SMS-ów lub e-maili. Również teraz nie będziemy ich używać jako jedynego źródła uwierzytelniania.

Jednocześnie właścicielom stron internetowych rekomendujemy, by korzystali z innych dostępnych metod uwierzytelniania, np. kopii zapasowej kodów wysyłanych SMS-em lub dodatkowych adresów mailowych. Obie te metody są bezpieczniejsze i wygodniejsze dla użytkownika.