Nieuws
image

Geheime vraag te gemakkelijk te raden

dinsdag 19 mei 2009, 09:39 door Redactie, 8 reacties

De geheime vragen die gebruikers voor het resetten van hun wachtwoord gebruiken, zijn veel te eenvoudig te raden, zo blijkt uit onderzoek van Microsoft en de Carnegie Mellon Universiteit. De onderzoekers ontdekten dat bekenden van de 130 proefpersonen in 28% van de gevallen de geheime vraag succesvol wisten te raden. Buitenstaanders haalden een succespercentage van 17%. Dat niet iedereen van de zwakte van het wachtwoord reset mechanisme op de hoogte is, werd vorig jaar duidelijk, toen een hacker het Yahoo account van Sarah Palin wist te resetten. Onlangs werd ook het e-mailaccount van actrice Salma Hayek op dezelfde manier gekraakt.

De onderzoekers stellen dan ook dat geheime vragen als "backup authenticatie" niet veilig genoeg zijn. De makkelijkste geheime vragen zijn zelfs zonder kennis over het slachtoffer te raden, zoals favoriete stad en sportclub. Bij deze vragen werd het antwoord in respectievelijk 30% en 57% van de gevallen geraden. Daarnaast is het niet alleen lastig om een wachtwoord te onthouden, ook het antwoord op de geheime vraag vervaagt na verloop van tijd. Zestien procent van de gebruikers wist binnen 3 tot 6 maanden het antwoord niet meer. En twintig procent vergat uiteindelijk de antwoorden op al hun geheime vragen.

Kosten
De reden dat websites en bedrijven toch de geheime vragen blijven gebruiken is om het ondersteunen van klanten zo goedkoop mogelijk te houden. "Het rare is dat het backup systeem om je wachtwoord te resetten onveiliger is dan het systeem dat het zou moeten ondersteunen", aldus beveiligingsgoeroe Bruce Schneier. De onderzoekers zijn dan ook van mening dat er een compleet nieuw mechanisme als backup authenticatie moet komen, aangezien geheime vragen gewoon niet goed genoeg zijn. "We zien graag dat de geheime vragen verdwijnen", aldus één van de onderzoekers.

Reacties (8)
19-05-2009, 10:27 door MarkII
duh, dat was het zoveel jaar geleden ook al. Alleen mensen denken niet na als ze de naam van hun favoriete huisdier gebruiken om in te loggen bij de bank of bij de mail.......

als je wachtwoord gereset moet worden zal er iets moeten komen zoals een sms systeem ofzo...
19-05-2009, 10:55 door rob
Het vervelende is ook dat je in vrijwel alle gevallen verplicht bent de geheime vraag in te vullen. Dat terwijl ik liever zelf het risico neem dat ik het wachtwoord goed bewaar. Dus vaak probeer ik te kiezen voor het zelf opstellen van de vraag. En dan vraag ik bijv. "Dit raad je nooit", en gooi dan een random wachtwoord van 20 karakters erin die ik nergens opschrijf.... om maar van de vraag af te komen.
19-05-2009, 11:37 door Anoniem
Door rob: Het vervelende is ook dat je in vrijwel alle gevallen verplicht bent de geheime vraag in te vullen. Dat terwijl ik liever zelf het risico neem dat ik het wachtwoord goed bewaar. Dus vaak probeer ik te kiezen voor het zelf opstellen van de vraag. En dan vraag ik bijv. "Dit raad je nooit", en gooi dan een random wachtwoord van 20 karakters erin die ik nergens opschrijf.... om maar van de vraag af te komen.
Je zou dan beter een vraag kunnen nemen als "Wat is m'n favoriete stad?" en dan die random 20 karakters invullen... is leuker als ze het proberen te kraken... :P
19-05-2009, 12:36 door Baloe
Goed artikel, apart dat dit nog nieuws is.
Veel mensen denken dus nog steeds niet na, en hebben dit artikel nodig.

'k Heb zelf weleens ingevuld als geheime vraag: "Wie dit lees is een grote **** want **** vergeet zijn wachtwoord niet."
En dan idd soort van Q|}mJfEC?|KJ\M2S\sy,/S#A{^;k5n#NO als antwoord.
19-05-2009, 14:01 door Anoniem
Het is een feature in grote producten, dus dan is het toch goed? Wat is je favoriete kleur - dat raden ze nooit. De geboortenaam van je moeder toch ook niet? Daarbij wordt het door auditoren goedgekeurd, (ik weet toevallig zeker dat bij Air France zo is, elders ongetwijfeld ook). Nu dan, dan is het gewoon veilig en iederen die dat niet vindt, heeft het verkeerd.
19-05-2009, 19:21 door Anoniem
Het jammere is dat je voor een vraag vaak slechts uit een paar mogelijke vragen kan kiezen.
Het zou handiger zijn als je zelf een vraag mag bedenken.
Dan kan je tenminste erg creatief wezen in zowel de vraag als het antwoord.
20-05-2009, 11:45 door Anoniem
Van die geheime vraag hebben wij nog iets geleerd, toe Sarah Palin koos voor lipenstif dacht ik laat ik kies voor iets totaal anders. De geheime vraag moet eigelijk net zo geheim blijf als de CIA Memo. Als bijvoorbeeld staat in de Memo van hoe vaak je iemand mag Waterboarding? 999 keer in een jaar dan verklaar je mij voor gek. ALs je geheim vraag temakelijk is en niet gecodeerd is bijvoorbeeld; mijn geheim vraag is waar is Witte Huis en je antwoord moet wezen: Washington ... waarom kies niet om truk bijvoobeeld W1a2s3h4i5n6g7t8o9n Of ander voorbeeld Wa$h1n9t0n , of WA$HINGT0N . IS maar voorbeeld maar zo sterk mogelijk wachtwoord is de voorkeur!
23-05-2009, 19:27 door H.King
:S Komen ze hier nu nog eens achter ? hoe bedoel je je loopt dik 10jaar achter op de feiten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure