「你最喜欢的食物是?」谷歌研究:密码提示并不安全
▲使用密码提示能骗得倒骇客吗?其实最容易骗倒的是自己。(图/示意图/达志影像)
使用网路购物、订阅内容、社群媒体……都需要帐号和密码,用户很容易忘记帐号或密码,或两者都不记得,怎么办?有个解决方式是透过回答一些基本的问题,以便唤起记忆,不过,根据谷歌(Google)一项最新研究显示,这个方法并不那么安全。
这项由美国史丹佛大学(Stanford University)博士后研究员、电子边疆基金会(Electronic Frontier Foundation)学者约瑟夫邦诺(Joseph Bonneau)与谷歌团队合作的研究,于21日首度发表,他们下了这个结论,「密码安全提示的问题提供的安全性,比用户自行选择的密码不安全得多」,事实上,团队认为密码提示「既不安全也不足以信赖」。
为什么呢?因为用户不记得他们回答了什么问题(37%的用户表示,他们在设定时故意回答「假答案」),或者这些问题的答案,对某些用户来说具有普遍性,很容易被骇客猜到。
例如,对于说英语的帐号用户来说,「你最喜欢的食物是什么?」的答案,骇客猜中的机率高达1/5;说韩语的帐号用户回答「你在哪个城市出生?」,骇客在10个选项中能猜中的机率高达39%。
当然也可以用增加问题的方式,使密码提示更加安全,但用户还是很难想起答案。例如,在谷歌的研究中,只有9%的人能够记住他们的飞行常客号码(frequent flyer numbers,就是航空公司的会员编号)。
研究团队建议,使用简讯和电子邮件回复,对于保障密码的安全性较好。但研究人员也坦承,这些方法并非万无一失,例如,如果用户出国旅行,就可能无法收到简讯。