Kajian: Pertanyaan Rahsia Tidak Melindungi Kata Laluan

Walaupun pasangan anda tidak mengetahui kata laluan e-mel anda, dia mungkin mengetahui maklumat yang mencukupi untuk mendapatkannya

Penyedia e-mel percuma sering hadir yang dipanggil "soalan rahsia" sebagai mekanisme pengesahan untuk menetapkan semula kata laluan akaun. Tetapi jawapannya sering mudah ditebak oleh orang lain yang mengetahui pemegang akaun, menurut kajian baru yang akan dikeluarkan semasa Simposium IEEE mengenai Keselamatan dan Privasi minggu ini di Oakland, California.

Dalam kes lain, orang asing dapat berjaya membekalkan jawapan kepada beberapa soalan, iaitu bagaimana nominasi naib presiden Parti Republik, Sarah Palin kehilangan kawalan akaunnya Yahoo. Pelajar universiti yang dituduh mengetepikan akaun, David Kernell, berkata, ia mengambil kurang dari satu jam penyelidikan dalam talian untuk menghasilkan jawaban yang tepat untuk pertanyaan keselamatan untuk akaun Palin.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Windows PC]

Kajian ini melihat soalan-soalan yang digunakan oleh Yahoo, Google, Microsoft dan AOL pada bulan Mac 2008. Dalam satu ujian, para penyelidik berpasangan dua orang bersama, dengan pemegang akaun e-mel mengatakan mereka tidak akan mempercayai yang lain orang dengan kata laluan mereka. Apabila dibentangkan dengan soalan rahsia pemegang akaun, orang lain menganggapnya betul 17 peratus dari masa itu.

Di antara dua orang yang mempercayai satu sama lain, satu pasangan dapat memberikan jawapan yang tepat untuk akaun Hotmail 28 peratus masa, kata kajian itu.

Walaupun dengan soalan yang ditulis oleh pengguna - sistem yang digunakan Google sekarang - orang asing yang lengkap boleh meneka jawapan 15 peratus dari masa dalam lima percubaan.

Sebahagian masalahnya ialah soalan-soalan yang sangat hambar yang sedikit mencari internet boleh memunculkan senarai rancangan TV kegemaran, soda, bir, pelakon, dll yang dapat membantu meneka sasaran yang lebih tepat. Data geografi juga membantu soalan-soalan seperti "Apakah pasukan sukan kegemaran anda," kata kajian itu.

"Hasil kami tidak memberi keyakinan kepada kami bahawa soalan peribadi hari ini membuat rahsia pengesahan yang mencukupi," tulis penulis. "Orang-orang yang sukar ditebak kurang dipilih oleh pengguna di tempat pertama, dan apabila dipilih, mereka mungkin kurang teringat."

Walaupun Yahoo pada satu masa mempersembahkan satu set soalan yang paling tidak dapat dilupakan pada masa itu, peserta kajian melupakan jawapan mereka sendiri dalam tempoh enam bulan. Penulis menulis bahawa Yahoo menggantikan kesemua sembilan soalan pengesahan peribadi pada bulan Februari.

Tidak ada penyelesaian yang mudah untuk masalah ini. Banyak laman web lain bergantung kepada menghantar e-mel ke akaun seseorang untuk mengesahkan seseorang, tetapi sejak akaun e-mel itu sendiri perlu disahkan, ia menimbulkan masalah.

Satu penyelesaian yang mungkin untuk menangkis serangan meneka statistik adalah untuk menghukum tindak balas yang salah bergantung kepada popularitinya. Ukuran penalti, tulis penulis, akan bergantung kepada peluang pengguna yang sah menjawab dengan pelbagai jawapan yang popular sebelum mendapatkan yang betul.

Data dalam kajian menunjukkan bahawa jika seseorang salah meneka dua respons yang popular untuk pertanyaan, mereka jarang mendapat soalan ketiga.

Juga, penulis mengesyorkan menghapuskan soalan yang secara statistik boleh diramalkan lebih daripada 10 peratus masa, seperti "Apa bandar kegemaran anda?"

Satu lagi mekanisme pengesahan boleh menjadi SMS (Short Message Service) yang dihantar oleh penyedia e-mel kepada seseorang telefon bimbit. Tetapi itu juga menimbulkan persoalan keselamatan, kerana telefon dicuri dan hilang, dan penghantaran SMS mempunyai kebimbangan keselamatan, mereka menulis.

Kajian itu ditulis oleh Stuart Schechter dan A.J. Berheim Brush dari Microsoft Research dan Serge Egelman dari Carnegie Mellon University.