保安專家︰不要再用密碼提示問題——至少胡亂作個答案

保安專家︰不要再用密碼提示問題——至少胡亂作個答案
Photo Credit: David Goehring, CC BY 2.0 (edited)
我們想讓你知道的是

早前Yahoo有大量用戶資料外洩,當中引起安全憂慮的是「密碼提示問題」及其答案。保安專家早就認為應淘汰這個機制,今次事故令問題更為明顯。

唸給你聽
powered by Cyberon

早前Yahoo有5億個用戶的資料被盜取,令人關注其安全。雖然密碼數據外洩,但有關資料會用到雜湊函數(hash funciton)加密,破解需時,只要用戶更改而且不重用密碼,應該沒有太大問題。

引起最大問題的,反而是密碼提示問題(security question,又稱安全性問題)及其答案。對,就是那些問你第一隻寵物叫甚麼名字、最喜歡的食物或者母親姓名之類的問題,通常是在申請帳號後忘掉、直到你忘記密碼後才再見的問題。

密碼提示問題不安全

據Yahoo表示,外洩的問題及答案中有部份未曾加密,只要結合電郵等資料,黑客可以用來嘗試為有關用戶的其他帳號重設密碼,從而取得控制權。

在今次事故之前,數碼保安專家已經認為,看似無甚特別的密碼提示問題是網上認證系統的一個弱點。他們認為應該廢除這個制度,而在此之前,我們應該亂填答案,以策安全。

密碼提示問題的最大問題,源自其設計意念——它本來是用作重設密碼的最後手段,即使你忘記了密碼,也不會忘記生命中一些重要的人和事。然而答案必須符合事實,但這些資訊本來就不會安全——就像用生日作密碼一樣(甚麼?你還在使用嗎?)。

事實無法重設

第一,答案或能在網上找到。現時我們(有意或無意地)把很多個人資訊放到網絡上,有心的黑客只需要花點時間,不難找到密碼提示問題的答案——例如,你第一隻寵物叫甚麼名字?可能你已經在Facebook或Instagram上提供了答案。

第二,事實無法改變。如果你的某個密碼外洩,即使其他帳號用上相同密碼(順帶一提︰這不是個好習慣),只要及時更改就沒有大礙。但萬一公開的是密碼提示問題及答案,而且你老實不亂答的話,那就令其他帳號都不安全了——畢竟我們無法重設自己母親的姓名吧。

第三,真實答案有跡可尋。有Google的研究員曾研究過密碼提示問題,在其調查中,英語使用者的問題如果是「你最喜愛的食物是甚麼?」,就算只猜「pizza」也有近五分之一機會猜中。而猜10次的話,韓語使用者有約4成機會被猜中「你在哪個城市出生?」或「你最喜愛的食物是甚麼?」這兩條問題的答案。

第四,如實作答有問題,假的答案也未必安全。雖然Google的調查發現有不少人會刻意回答假資訊,但作者警告,因為人們都用一種可預測的方法作假,這方法同樣可能增加入侵的機率。

每次資料外洩都增加危險

因此,不少保安專家都呼籲不要再使用密碼提示問題。身份私隱及保安顧問Jim Fenton就說︰「我希望見到這個措施消失。假如密碼都未必安全,為何密碼提示問題有特權可以長存?」Fenton指出,每次有用戶資料外洩,就有更多個人資訊流出網絡,令黑客更易猜出密碼提示問題的答案。他更設立了一個叫做「Insecurity Questions」的博客,收集並點評各種密碼提示問題的系統。

賓夕法尼亞州大學的電腦科學家Matt Blaze在分享Yahoo資料外洩的新聞時,亦針對該公司未有把密碼提示問題及答案加密一事,在Twitter上戲言「抱歉,如果你有Yahoo帳戶,就需要帶一個新的母親,或在另一條街長大」。他補充,由於其他網站都會用這些問題,今次Yahoo事故在資訊安全上等同於生態災難。

美國的國家標準技術研究所(NIST)今年7月發放的《數碼認證指南》草稿中,亦把較早版本列入的密碼提示問題剔除,換言之NIST不再認為這方法安全。就算Yahoo現在也建議用戶取消使用密碼提示問題,以保障安全。

如何淘汰?

上述Google研究員的論文中,他們分析數據後指出,密碼提示問題的答案要麼容易猜中而不安全,要麼雖然安全卻難以使用。在他們的調查中有4成美國的英語使用者記不起他們的答案,而如果使用罕見的問題,有很多人都無法記住答案,因而變得毫不實用。

他們的結論是,密碼提示問題既不安全,又未可靠得可以單獨用作恢復帳號。這是因為密碼提示問題受制於一個基本限制︰答案通常安全或者易記,卻鮮有兩者兼備。在這項研究之前,Google已經開始逐步淘汰密碼提示問題,改為要求用戶以短訊或後備電郵去確認身份、重啟帳號。

不過要完全摒棄密碼提示問題並非易事,因為其他替代機制各有其限制,甚至連以短訊收取臨時密碼也有安全憂慮。正如在電腦保安公司AgileBits負責產品安全的Jeffrey Goldberg表示︰「要指出密碼提示問題的安全漏洞很容易,但要找一個代替品比較難。」

NIST的高級標準及技術顧問Paul Grassi則相信,現時已經有足夠的安全機制可供使用,並能夠替代兼淘汰密碼提示問題。他承認沒有一個解決所有問題的方法,希望未來各機構會提供不同的機制代替。

暫時先胡亂作答

但在密碼提示問題仍然存在的這段日子,假如你在申請帳戶時不得不答一個問題,那麼應該如何作答?

最好的方法是,不要回答任何有意義的內容,應該像密碼一樣找個隨機字串貼上去,然後忘掉。這個情況下,即使出現任何資料外洩事故,你都可以確保其他帳號不會因此受牽連。

當然,這個方法令到密碼提示問題報廢,而你可能因此無法重設密碼、恢復帳號。再者,密碼本身都應該要足夠安全——即不好記,所以除非你有很好的記憶力,否則最好使用密碼管理軟件來替你記住密碼。

相關文章︰

資料來源︰