QQ密保令牌下载|QQ密保令牌下载_快猴软件下载再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
威锋网7月10日消锋网7月10日消息,《植物大战僵尸2》 如今...
威锋网7月10日消息,《植物大...
近日,开发商 Esquilax Games ..
说到方块游戏,相信有很多朋友应该还会记得 Gavina Games 早...
威锋网7月10日消息,《植物大...
近日,开发商 Esquilax Games ..
说到方块游戏,相信有很多朋友应该还会记得 Gavina Games 早...
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
再吸金!SE推出《最终幻想:全员勇者》钥匙扣
您需要通过验证再能继续浏览 3秒后开始验证
威锋旗下产品
Hi~我是威威!
粤公网安备 11号
新三板上市公司威锋科技(836555)
增值电信业务经营许可证:
Powered by Discuz!中国领先的IT技术网站
51CTO旗下网站
你的密码保护问题真的安全吗?
安全研究人员Elie Bursztein和Ilan Caron对Google用户使用的数以百万计的密保问题及***进行了数据分析,研究结果表明,密保这种“忘记密码”后最基本的验证方式存在诸多安全隐患。
作者:Sphinx来源:FreeBuf| 10:24
安全研究人员Elie Bursztein和Ilan Caron对Google用户使用的数以百万计的密保问题及***进行了数据分析,研究结果表明,密保这种&忘记密码&后最基本的验证方式存在诸多安全隐患。
你的密保问题安全吗?
你第一个宠物的名字叫什么?
你最喜欢的食物是什么?
你母亲的婚前姓是什么?
这些看似随机的问题有什么共同点?他们都是典型的&密保问题/安全问题&。你很可能回答过这种密保问题&&很多在线服务用这些问题帮助用户在忘记密码的情况下进入账号,或者用作防止异地登录的额外安全保护。
尽管密保问题非常普及,他们的安全性和效率很少被深入研究过。我们对Google用户们使用的数以百万计的安全问题和***进行了分析,然后计算黑客猜解这些问题***的可能性。
最终我们得出的结论是&&密保问题既不安全也不可靠,它不能够被单独当做&忘记密码&的恢复机制。因为所有的密保问题都有一个基本缺陷:问题的***要么安全但很难记忆,要么容易记忆但并不安全。
易被猜解的密保问题
密码保护***通常都会包含大家都知道的某些信息,或者由于文化的原因,***被局限在某个小范围里面&&比如某些国家中,有些姓比较常见。
我们的一些具体发现:
如果攻击者猜一次,他就有19.7%的概率猜到英语国家用户的&你最喜欢的食物&问题(顺便提一下,***是&批萨&);
如果攻击者猜十次,他就有近24%的概率猜到阿拉伯语国家用户的&你第一位老师的名字&问题;
如果攻击者猜十次,他就有21%的概率猜中西班牙语国家用户的&你父亲的中间名&问题;
如果攻击者猜十次,他就有39%的概率猜中韩语国家用户的&你出生的城市&问题,有43%的概率能猜到他们最喜欢的食物。
而如果将密保设为&你的手机号码是什么?&这类相对私密的问题呢?
我们研究表明,37%的用户会故意为该问题设置为一个假的***,并自作聪明地以为这会使得问题更难猜。事实上这种做法适得其反,因为很多人会想到一块去并使用相同的&假***&,这反而增加了攻击者猜解正确的可能性。
问题安全了,但***记不住了
&你母亲在哪读小学?&&你的图书馆卡号是多少?&这类密保问题的***总归安全了吧?是的,但是这种问题的***也更加难以记忆。
调查显示,40%美国用户回想不起他们的安全问题***,上述两个问题,用户想起正确***的概率仅为22%和9%。
用户对于相对简单的问题&你父亲的中间名?&记起***的概率为76%,而&你的第一个手机号码?&则只有55%。
为什么不增加安全问题呢?
相比一个密保问题,两个或更多的密保问题猜解难度当然更大。但是代价就是用户成功恢复账号的概率大幅下降。
根据我们的数据,最简单的问题是&你出生的城市?&,用户有超过79%的概率回忆起***;第二简单的是&你父亲的中间名?&,概率为74%。如果攻击者有十次猜测机会,他们6.9%和14.6%的可能性能够猜到问题的正确***。
然而当用户需要同时回答这两个问题的时候,攻击者十次猜测,同时猜中两个***的概率仅为1%,而用户同时回答对两个问题的概率也降至59%。
密保问题该淘汰了
密保问题是目前&忘记密码&的基本方式。但是根据本文的分析,你会发现这种方式的用户体验真的令人失望。
研究人员还是建议产品尽可能使用其他验证方式而不是密保问题,例如发送验证码到用户的手机或者备用email地址。这些是更安全,用户体验更好的方法。【责任编辑: TEL:(010)】
大家都在看猜你喜欢
热点热点头条头条专题
24H热文一周话题本月最赞
讲师:47785人学习过
讲师:110644人学习过
讲师:389人学习过
精选博文论坛热帖下载排行
为了满足广大考生的需要,我们组织了参与过多年资格考试命题或辅导的教师,以新的考试大纲为依据,编写了《数据库系统工程师考试全程指导》...
订阅51CTO邮刊
