18. mai 2009

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Eelmisel nädalal esitletud uurimuses näitasid Microsofti ja Carnegie Melloni ülikooli teadlased, et paljudel veebilehtedel kasutusel olev salaküsimuste süsteem parooli meeldetuletamiseks on murettekitavalt ebaturvaline. 130 inimese peal läbi viidud uurimuses näidati, et 28 protsenti inimestest, keda parooli omanik tundis ja usaldas, suutsid salaküsimuse vastuse ära arvata. Isegi need, keda parooliomanik ei usaldanud, arvasid õige vastuse ära 17-protsendilise tõenäosusega, kirjutas Technology Review.

"Salaküsimused ei ole inimeste tuvastamiseks piisavalt turvalised,“ ütles tarkvaragigandi Microsoft teadlane Stuart Schechter, kes oli uurimuse üks autoritest. „Küsimused pole piisavalt usaldusväärsed, et vaid neile põhinedes parooli unustanud kasutajate kontosid taastada.“

Kõige vähem turvalised on lihtsad küsimused, mille vastuse saab ära arvata isegi konto omanikku tundmata. Näiteks arvasid katses osalenud inimesed küllalt lihtsalt ära vastused küsimustele „Mis on sinu lemmiklinn?“ ja „Milline on sinu lemmik spordimeeskond?“. Vastus esimesele küsimusele arvati ära 57 protsendil katsetest, teisele küsimusele aga 30 protsendil katsetest.

Suhteliselt väheturvalised olid ka küsimused, millele vastamiseks oli vaja konto omanikku vaid pealiskaudselt tunda. Inimestest, keda konto omanikud ei usaldanud, oskasid 45 protsenti vastata küsimusele sünnikoha kohta ning 40 protsenti oskas kirja panna konto omaniku lemmiklooma nime.

Identifitseerimiseks kasutatavatel varusüsteemidel peaks olema kaks olulist tunnust, ütles Schechter. Need peaksid olema usaldusväärsed ja püsima kasutajal meeles, et oleks võimalik parooli unustamise korral konto taastada. Samas peavad need olema piisavalt turvalised, et konto oleks sissetungijate eest kaitstud.

Uurimuse kohaselt ei täida salaküsimused kumbagi ülesannet. Isegi kõige paremini meeldejäävate küsimustega kontodel (milleks osutusid Yahoo kontod) unustasid 16 protsenti katses osalenud inimestest vastused kolme kuni kuue kuu jooksul. Kokku unustas iga viies inimene kõik oma salaküsimuste vastused, leidsid teadlased.

"Inimesed kipuvad alahindama välja mõeldud kavala vastuse unustamise tõenäosust,“ ütles Schechter.

Turvalisusekspert Bruce Schneier on juba üle kümne aasta kritiseerinud salaküsimuste süsteemi haavatavuse pärast rünnakutele. 2005. aastal kirjutas Schneier: "Mulle meeldiks teada, et kui ma oma parooli unustan, on minu kontole ligi pääseda väga raske. Ma tahan, et see oleks nii raske, et võõral inimesel oleks see võimatu.“

Paraku on teeninduskulude kokkuhoiule keskenduvad ettevõtted loonud tagaukse inimeste kontodesse, kust on lihtsam sisse pääseda, kui parooli ära arvata, sõnas ta. „On väga kummaline, et parooli taastamist võimaldav süsteem on vähem turvaline kui süsteem, mida see toetab.“

Schechter nõustus, et teadlased peavad leidma täiesti teistsuguse varuidentifitseerimise meetodi – salaküsimused lihtsalt ei saa selle tööga hakkama. „Loodan, et tulevikus sellist süsteemi ei kasutata,“ ütles ta. „Kuna me ei leidnud piisavalt häid küsimusi, ei piisa vaid lihtsate küsimuste asendamisest turvalisematega.“

Schechter soovitas mitte valida küsimusi, millel on väga levinud vastused. Schneier soovitab vastamisest üldse loobuda, sisestada suvaline tähekombinatsioon ning parooli ununemise korral ettevõttega ühendust võtta.

Autor: ituudised.ee - Äripäeva IKT uudiste teemaveeb