Nieuws

Geheime vraag eenvoudig te raden

donderdag 11 maart 2010, 15:57 door Redactie, 21 reacties

De geheime vraag die consumenten voor hun online accounts instellen is eenvoudig te raden, zo hebben Britse onderzoekers ontdekt. Dit soort vragen fungeren vaak als backup in het geval gebruikers hun wachtwoord zijn vergeten. Onderzoekers van de Universiteit van Cambridge hebben nu laten zien dat aanvallers die drie kansen krijgen, 1 op de 84 geheime vragen weten te beantwoorden. "Het getal is slechter dan we dachten", zegt hoofdonderzoeker Joseph Bonneau. De onderzoekers analyseerden 270 miljoen combinaties van voor- en achternamen voordat ze tot hun conclusie kwamen.

Sommige aanbieders van online diensten geven gebruikers drie kansen en locken dan het account voor een bepaalde tijd. Toch biedt deze oplossing geen 100% bescherming, zoals ook Sarah Palin overkwam. Een aanvaller wist via publieke informatie het antwoord op haar geheime vraag te achterhalen en kreeg zo toegang tot het Yahoo! account van de Republikeinse kandidaat-vice-president.

Raden
Is de aanvaller een bekende van het slachtoffer, dan wordt de vraag in 17% van de gevallen juist beantwoord. Een mogelijke oplossing is het stellen van niet één vraag, maar drie. "De kans dat je drie dingen tegelijkertijd raadt is behoorlijk klein", aldus Bonneau.

LimeWire integreert AVG virusscanner

Internet Explorer 0-day verstopt in spam

Reacties (21)

11-03-2010, 16:06 door Anoniem

ja en water is nat.
dit is echt de meest oude truc uit de doos

-mystic^

11-03-2010, 16:24 door Anoniem

Als je dan toch perse zo'n onzinnige vraag moet instellen (moet, e niet "mag"), kun je beter een fout antwoord opgeven. "Wat is de meisjesnaam van je moeder": in het echt Janssen, maar je geeft op hsdaegkfk&^%. Laat een hacker dat maar "raden".

11-03-2010, 16:47 door Anoniem

hmm, als je de kennis hebt om 1 vraag goed te beantwoorden zullen de 2 andere vragen ook niet zo moeilijk meer zijn

11-03-2010, 16:55 door Anoniem

Door Anoniem: Als je dan toch perse zo'n onzinnige vraag moet instellen (moet, e niet "mag"), kun je beter een fout antwoord opgeven. "Wat is de meisjesnaam van je moeder": in het echt Janssen, maar je geeft op hsdaegkfk&^%. Laat een hacker dat maar "raden".

Daarom geef ik als antwoord op zo'n vraag ook altijd mijn actief wachtwoord :-)

11-03-2010, 17:06 door Anoniem

Sommige 'geheime vragen' kunnen gemakkelijk beantwoord worden aan de hand van informatie die terug te vinden is in profielen op sociale netwerken zoals Facebook of LinkedIn wanneer mensen hun profiel niet afschermen voor mensen buiten hun directe netwerk. Wat dat betreft is het begrip 'geheim' betrekkelijk relatief.

11-03-2010, 17:29 door Anoniem

geheime vragen zijn niet meer van deze tijd.

11-03-2010, 18:12 door [Account Verwijderd]

[Verwijderd]

11-03-2010, 18:16 door [Account Verwijderd]

[Verwijderd]

11-03-2010, 19:26 door Anoniem

IK doorzie de graduaties van de comments niet. Sommige zijn -1, -2 anderen +1 en anderen weer +0 (wordt hier de neutraliteit van het cijfer 0 in twijfel getrokken?)

Ik mis de onderbouwing of ben gewoon niet instaat om de achterliggende motivatie te doorgronden.

11-03-2010, 19:59 door Preddie

Door unaniem:

Door Anoniem: Ja en water is nat.
Dit is echt de oudste truc uit de doos.

-mystic^

Alsof jij zo modern bent.

is dit niet een reactie die een beetje ondermaat is en zonder fundamentele basis is uitgesproken?

ik ben het namelijk geheel eens met mystic^, buiten het raden van wachtwoorden is het raden van de vraag die naar het wachtwoord refereert, 1 van de oudere maar veel gebruikte technieken om ongeautoriseerd toegang te krijgen tot een account. Helaas wordt de "wachtwoordvraag" de dag nog door veel mensen gebruikt, sommige mensen zullen hier nadelige gevolgen van ondervinden en andere zullen hier niks van merken. Het gaat er om hoe je met de geheime vraag omgaat en hoe je je wachtwoord gekozen hebt en vooral dit laatste is de doorslaggevende factor.

Wanneer men als wachtwoord de naam van een familielid kiest is men al fout begonnen. Wanneer men vervolgens de geheime vraag serieus naar waarheid gaat invullen wordt de kans dat het geraden wordt alleen maar groter. Een sterk wachtwoord is dus ook in dit geval essentieel.

11-03-2010, 20:17 door [Account Verwijderd]

[Verwijderd]

11-03-2010, 20:39 door Anoniem

11-03-2010, 21:47 door MrBil

unaniem, Mystic is zekers weten modern ;-) geloof mij

11-03-2010, 22:28 door [Account Verwijderd]

[Verwijderd]

12-03-2010, 09:29 door Anoniem

Geheime vragen slaan nergens op.
Gewoon het wachtwoord sturen naar het geregistreerde emailadres.

12-03-2010, 10:12 door Anoniem

Door Anoniem: Geheime vragen slaan nergens op.
Gewoon het wachtwoord sturen naar het geregistreerde emailadres.

Moeten we alleen nog met S/MIME gaan spelen of zoiets, en iets doen aan hergebruik e-mail adressen.

12-03-2010, 12:34 door [Account Verwijderd]

[Verwijderd]

12-03-2010, 13:44 door Anoniem

Ach dit is een algemeen probleem wereldwijd.
Iedere standaard gebruiker en thuisgebruiker, kiest voor een zeer makkelijk wachtwoord om nooit meer te hoeven wijzigen.
Als systeembeheerder kom je TE VAAK dezelfde wachtwoorden tegen indien er niets is ingesteld.
In 2010 blijken er nog altijd gebruikers te zijn die inloggen met Welkom2009, 2008 of zelfs 2007, de standaard wachtwoorden bij een reset van het account.

Want stel je voor dat je op je werk OOK nog eens na moet gaan denken aan een veilig wachtwoord!?!?!?

15-03-2010, 09:46 door Anoniem

Ik ben het eens met Mystic^. (En zijn stukje leest veel fijner dan die van unaniem)
Maar toch vind ik het een nuttig artikel. Het kan nooit kwaad om voor de goegemeente een oude wijsheid te herhalen. Bovendien zit er wel degelijke een beetje nieuws in: het lukt vaker dan de onderzoekers hadden verwacht. Getallen zoals "1 op de 84" zijn machtige wapens als je managers wilt overtuigen en handig als je zelf een test wilt uitvoeren.

16-03-2010, 05:36 door Rene V

Door Anoniem: "Wat is de meisjesnaam van je moeder": in het echt Janssen, maar je geeft op hsdaegkfk&^%. Laat een hacker dat maar "raden".

Dat is leuk en wel, maar weet jij na bijv. een jaar, wanneer je je ww om wat voor reden dan ook, kwijt of vergeten bent, dat hsdaegkfk&^% het antwoord is op de geheime vraag? Dan moet je wel een uitmuntend fotografisch geheugen hebben, lijkt mij. ;-)

16-03-2010, 09:53 door Anoniem

En de antwoorden op de verschillende geheime vragen zijn eenvoudig online te vinden.
Als je weet om welke vraag het gaat zijn de antwoorden dus binnen handbereik.
Zie http://www.crypsys.nl/nl/crypsys-blog/29-crypsys-blog/345-secret-questions-online

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer