Атака на Yahoo

Під час чергової кібератаки зловмисники, спонсоровані державою, скомпрометували дані щонайменше 500 мільйонів користувачів Yahoo. Про цей інцидент стало відомо нещодавно. Були зламані не лише паролі або адреси електронної пошти, але й секретні запитання та відповіді, які користувачі зберігають як резервну копію для скидання паролів. Це, ймовірно, секретна інформація, наприклад, улюблене місце відпочинку або перший куплений автомобіль.

Фіаско Yahoo підкреслило, що безневинні на перший огляд запитання залишаються слабкою ланкою в онлайновій аутентифікації. Якщо запитати експертів з безпеки про безпеку, вони скажуть, що від них ніколи не слід відмовлятися, і поки вони продовжують існувати, слідкуйте за тим, щоб ніколи не відповідати на них чесно.

Злам Yahoo підкреслив небезпечний фактор здатності вгадувати і складність зміни питань безпеки.

Механізм секретних питань виявився абсолютно неадекватним, хоча він вважався останнім і надійним засобом відновлення пароля. Так навіть якщо хтось забував свій складний пароль, вважалося, що людина ніколи не забуде ім'я своєї матері або місце, де вона народилася.

Зараз, коли бачимо різні випадки кібератак, покладатися на фактичні дані навіть безглуздо. Дані ніколи не є секретом. У наші дні пошук у соціальних мережах часто може розкрити ці секрети, наприклад, де людина виросла або якою була марка її першого автомобіля тощо. Таким чином, даний підхід піддає ризику особисті рахунки.

Скинути дівоче прізвище матері

Експерти з безпеки хочуть, щоб практика запитань безпеки пішла у минуле. Проста логіка така: якщо складні паролі вразливі, то що робить запитання безпеки настільки унікальними, що вони житимуть вічно і не зазнають атаки?

Усі нові витоку даних розкривають дедалі більше особистої інформації, що полегшує вгадування відповіді секретні запитання. Це дозволяє хакерам повторно використовувати цю інформацію для зламування інших сервісів. Об'єднуючи всі ці дані, хакери отримують більшу інформацію з різних витоків даних.

Хтось помітив у Twitter, що якщо людина має обліковий запис Yahoo, то після оприлюднення витоку даних Yahoo йому потрібно знайти нову вулицю, щоб вирости, або нову матір. Повторне використання запитань і відповідей безпеки на різних сайтах може означати, що витік даних у масштабах Yahoo буде подібний до екологічної катастрофи для еквівалента безпеки.

У 2015 році дослідники безпеки компанії Google проаналізували підхід до запитань безпеки та їх слабкі сторони і дійшли висновку, що секретні запитання мають відповіді, які або певною мірою безпечні, або легко запам'ятовуються, але рідко бувають і тим, і іншим. Це робить секретне запитання ненадійним і небезпечним як самостійний механізм відновлення.

Google встановив SMS-повідомлення як резервну копію або резервну електронну пошту для відновлення облікового запису. Задовго до закінчення дослідження вони усунули секретні запитання.

Моя мати народилася у Fgstow's Z2@d

Запитання безпеки не зникнуть найближчим часом. Потрібен час для нових систем або переходу на нові. Тому щонайменше, що можна зробити, це посилити існуючі запитання безпеки для деяких критично важливих служб. Найкращий спосіб – говорити неправду у відповідях. Наприклад, припустимо, що адреса людини – Нью-Йорк, і ця інформація міститься у профілі Facebook. У цьому випадку хакери будуть використовувати фактори ймовірності, щоб вгадати місце народження матері у Нью-Йорку.

Найкращий спосіб – дати випадковий рядок символів, що не містить жодної значущої інформації. Задаючи запитання про несуттєву деталь життя, яку хакер точно не зможе дізнатися, він все одно не розкриває відповідь, яка може бути скомпрометована при атаці.

Такий підхід робить відповіді на запитання безпеки неможливими для запам'ятовування, порівняно з особистими фактами, які ми можемо легко зберегти у пам'яті. Тому слід використовувати менеджер паролів. Він допоможе зберігати надійні паролі, згенеровані випадково, і навіть зберігати ваші відповіді безпеки.

Використовуйте менеджер паролів

Припустимо, що людина витратила час на те, щоб додати якомога більше облікових записів в менеджер паролів і рандомізувати всі паролі. У такому разі слід знати, що це здійсненний проект, але довгостроковий. Додавання нового пароля займає кілька хвилин і гарантує, що рядки випадкових символів будуть правильно збережені у менеджері паролів. Середній користувач має кілька цифрових облікових записів, пов'язаних з основною адресою електронної пошти. Тому рандомізація кожного запитання безпеки, коли механізми не завжди доступні, залишається непосильним завданням.

Експерти радять змінювати відповіді безпеки на облікових записах, що містять найважливіші дані, такі як фінансові рахунки, електронна пошта та медичні рахунки. Навіть якщо людина не має активного менеджера паролів, вона все одно може почати ним користуватися. З його допомогою можна відслідковувати відповіді безпеки. У людини мають бути унікальні паролі для кожного сайту та сервісу. Крім того, важливо мати унікальні відповіді на запитання безпеки та менеджер паролів.

Експерти з безпеки вважають, що є достатньо альтернатив запитанням безпеки, від яких можна поступово відмовитися, навіть для федерального уряду. Проте універсального рішення немає. Ви хочете U2F? Приступайте. Бажаєте Google Prompts? Погоджуйтесь. Хочете щось написане на аркуші паперу, який ми надішлемо вам поштою? Погоджуйтесь.

Популярні веб-сервіси переходять від запитань безпеки до досконаліших варіантів. Twitter, схоже, взагалі не буде використовувати запитання безпеки для відновлення облікового запису. Facebook пропонує запитання безпеки в якості останнього засобу, коли користувачі вказують, що вони не мають доступу до мобільного телефону або резервної адреси електронної пошти, яку вони встановили раніше. Але Facebook ніколи не дозволяє користувачам оновлювати чи покращувати свої запитання.

Висновок

Захисні запитання, необхідні відновлення паролів, принципово небезпечні. Але якщо ми не можемо їх скасувати, ми можемо ускладнити угадування наших відповідей.