به گزارش بیبیسی، یک تحقیق نشان میدهد که حدس زدن اکثر سوالات امنیتی که برای محافظت از نمایههایی نظیر ایمیل و شبکه اجتماعی به کار میرود، مانند نام مادر و یا تیم فوتبال مورد علاقه؛ بسیار ساده است.
وقتی کاربری قصد تغییر اطلاعات ورود به نمایه خود نظیر کلمه عبور را دارد، باید به سوال امنیتی که خود قبلا آن و جوابش را انتخاب کردهاست، پاسخ صحیح بدهد.
نتایج این تحقیق نشان میدهد که به طور میانگین هکرها اگر سه بار فرصت برای حدس زدن جواب یکی از سوالات را داشته باشند، میتوانند به 1 سوال از 80 سوال پاسخ صحیح بزنند.
جوزف بونیا از دانشگاه کمبریج که مسئولیت این تحقیق را بر عهده داشته میگوید آمار بدست آمده بسیار نگران کنندهتر از حد انتظار است.
وی همچنین میگوید که تحقیقات دیگری توسط بعضی شرکتها و موسسات بر روی ایمنی این سوالات صورت گرفته است.
برای مثال مایکروسافت و دانشگاه کارنگی ملون برروی این مسئله تحقیق میکنند که حدس زدن این سوالات برای دوستان و فامیل چقدر آسان است. آنها دریافتند که 17 درصد سوالات امنیتی توسط نزدیکان قابل حدس است.
آقای بونیا همچنین اضافه کرد که آمار و اطلاعاتی که از مسائل مختلف جامعه نظیر محبوبیت اسمها، محبوبیت تیمهای فوتبال و بسیاری پدیدههای دیگر در اینترنت و منابع عمومی در دسترس عموم است میتواند به هکرها در عبور از این سد امنیتی کمک کند.
از طرفی اطلاعات شخصی که افراد از خود در شبکههای اجتماعی و یا نمایههای عمومی و وبلاگها به جای میگذارند، حدس زدن سوالات را آسانتر میکند.
تحقیق بونیا و همکارانش، مایک جاست و گرگ متیوز از دانشگاه ادینبرو بر روی 270 میلیون جفت سوال و جواب، نشان داد که به طور میانگین هر هکر میتواند با داشتن 3 شانس، از هر 80 سوال به یک سوال پاسخ صحیح بدهد.
بونیا میگوید: "حدس زدن اینکه نام معلم کلاس اول کسی چه بوده به نظر کار سختی میآید. ولی مشکل اینجاست که هزاران معلم با نامهای مشابه و مرسوم وجود دارند.
بونیا و تیمش راههای جدیدی برای ایمن ساختن سوالات پیشنهاد کردهاند. برای مثال سه سوال مختلف به جای یک سوال انتخاب شود. یافتهها نشان میدهد که پاسخ دادن به سه سوال متوالی بسیار سختتر از پاسخ دادن به یک سوال است.
بعضی از وبسایتها نیز از پایین بودن ایمنی سوالات امنیتی مطلع شدهاند و در حال تغییر روشهای امنیتی هستند. برای مثال گوگل از سرویس پیام کوتاه برای ارسال رمز عبور تغییر یافته بعد از پاسخ به سوال امنیتی استفاده میکند. این کار باعث میشود در صورتی که هکر به سوالات امنیتی پاسخ صحیح را بدهد، باز هم به کلمه عبور دسترسی پیدا نکند.
