Ga naar inhoud

Google schiet gaten in gebruik van geheime vraag


Aanbevolen berichten

Het gebruik van alleen een geheime vraag om een vergeten wachtwoord te resetten is onveilig en moet dan ook worden vermeden, zo stelt Google aan de hand van eigen onderzoek (pdf). Veel websites gebruiken nog altijd de geheime vraag als manier voor gebruikers om toegang tot hun account te krijgen als ze de inloggegevens zijn vergeten. Het probleem van de geheime vraag is dat aanvallers kunnen proberen om het antwoord te raden en zo het wachtwoord te resetten.

Zo bleek dat een aanvaller met de geheime vraag van Engelstalige gebruikers "wat is je favoriete maaltijd" 19,7% kans heeft om die in één keer te raden. Het antwoord is "pizza". Met tien pogingen heeft een aanvaller 24% kans om de vraag "wat is de naam van je eerste leraar" bij Arabisch sprekende gebruikers te beantwoorden. Met een zelfde aantal pogingen heeft een aanvaller 21% kans om de vraag van Spaanstalige sprekers, "wat is de middelste naam van je vader", te beantwoorden. In het geval van Koreanen leveren tien pogingen een succesratio van 39% op met de vraag "in welke stad ben je geboren" en 43% met de vraag wat het lievelingseten is.

Verder bleek dat veel gebruikers identieke antwoorden op geheime vragen hadden waarvan wordt aangenomen dat ze juist zeer veilig zijn, zoals "wat is je telefoonnummer" en "wat is je airmilesnummer". In dit geval bleek dat 37% van de mensen opzettelijk verkeerde informatie invult met het idee dat dit het antwoord lastiger te raden maakt. Het onderzoek, waarvoor Google honderden miljoenen geheime vragen en antwoorden analyseerde, laat ook zien dat 40% van de Engelstalige gebruikers het antwoord op de geheime vraag niet meer weet als ze die moeten invullen.

Ongeschikt

Volgens de onderzoekers toont het onderzoek dat de geheime vraag eigenlijk ongeschikt is om wachtwoorden te resetten en zowel websites als gebruikers goed moeten nadenken of ze geheime vragen wel willen gebruiken. Google zegt dat het de geheime vraag niet als een losstaande manier gebruikt om wachtwoorden te resetten. Verder moeten eigenaren van websites andere authenticatiemethodes gebruiken, zoals sms-codes of een tweede e-mailadres. "Dat is zowel veiliger als gebruiksvriendelijker", concludeert Elie Bursztein van Google.

 

bron: security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.