Pelajari: Pertanyaan Rahasia Jangan Lindungi Kata Sandi

Bahkan jika pasangan Anda tidak tahu kata sandi e-mail Anda, ia mungkin tahu cukup banyak informasi untuk mendapatkannya.

Penyedia e-mail gratis sering hadir apa yang disebut "pertanyaan rahasia" sebagai mekanisme verifikasi untuk mereset kata sandi akun. Tapi jawabannya sering mudah ditebak oleh orang lain yang tahu pemegang akun, menurut sebuah studi baru yang akan dirilis selama Simposium IEEE tentang Keamanan dan Privasi minggu ini di Oakland, California.

Dalam kasus lain, orang asing dapat berhasil menyediakan jawaban atas beberapa pertanyaan, yaitu bagaimana calon wakil presiden dari Partai Republik Sarah Palin kehilangan kendali atas akun Yahoo-nya. Mahasiswa universitas yang dituduh melakukan penyitaan akun, David Kernell, mengatakan butuh kurang dari satu jam penelitian online untuk menghasilkan jawaban yang tepat untuk pertanyaan keamanan untuk akun Palin.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari Anda Penelitian ini melihat pertanyaan yang digunakan oleh Yahoo, Google, Microsoft, dan AOL pada Maret 2008. Dalam satu tes, para peneliti memasangkan dua orang bersama-sama, dengan pemegang akun e-mail mengatakan bahwa mereka tidak akan mempercayai yang lain orang dengan kata sandinya. Ketika disajikan dengan pertanyaan rahasia pemegang rekening, orang lain menebaknya dengan benar 17 persen dari waktu.

Di antara dua orang yang saling percaya, satu mitra mampu memberikan jawaban yang tepat untuk akun Hotmail 28 persen dari waktu, kata penelitian.

Bahkan dengan pertanyaan yang ditulis oleh pengguna - sistem yang sekarang digunakan Google - orang asing yang lengkap dapat menebak jawaban 15 persen dari waktu dalam lima percobaan.

Bagian dari masalahnya adalah pertanyaannya begitu hambar sehingga sedikit pencarian di Internet dapat memunculkan daftar acara TV favorit, soda, bir, aktor, dll. yang membantu membuat tebakan yang lebih bertarget mungkin. Juga, data geografis membantu dengan pertanyaan seperti "Apa tim olahraga favorit Anda," kata studi tersebut.

"Hasil kami tidak memberi kami keyakinan bahwa pertanyaan pribadi hari ini membuat rahasia otentikasi yang memadai," tulis para penulis. "Mereka yang sulit ditebak kurang mungkin dipilih oleh pengguna di tempat pertama, dan ketika dipilih mereka cenderung untuk diingat."

Meskipun Yahoo pada satu waktu mempresentasikan serangkaian pertanyaan yang paling berkesan pada saat itu., peserta studi itu lupa jawaban mereka sendiri dalam waktu enam bulan. Para penulis menulis bahwa Yahoo mengganti semua sembilan pertanyaan otentikasi pribadinya pada bulan Februari.

Tidak ada perbaikan yang mudah untuk masalah ini. Banyak situs web lain bergantung pada pengiriman e-mail ke akun seseorang untuk memverifikasi seseorang, tetapi karena akun e-mail itu sendiri perlu diverifikasi, itu menimbulkan masalah.

Salah satu solusi yang mungkin untuk menangkal serangan menebak statistik akan menghukum respon yang salah tergantung pada popularitas mereka. Ukuran penalti, tulis penulis, akan bergantung pada kemungkinan pengguna yang sah menanggapi dengan beberapa jawaban populer sebelum mendapatkan jawaban yang tepat.

Data dalam penelitian ini menunjukkan bahwa jika seseorang salah menebak dua tanggapan populer untuk sebuah pertanyaan, mereka jarang mendapatkan pertanyaan ketiga yang benar.

Selain itu, penulis menyarankan untuk menghilangkan pertanyaan yang secara statistik dapat ditebak lebih dari 10 persen dari waktu, seperti "Apa kota favorit Anda?" Mereka mendefinisikan jawaban sebagai dapat ditebak secara statistik jika itu adalah salah satu dari lima jawaban paling populer yang disediakan oleh peserta lain dalam penelitian mereka.

Mekanisme otentikasi lain bisa berupa SMS (Short Message Service) yang dikirim oleh penyedia email ke seseorang telepon genggam. Tapi itu juga menimbulkan pertanyaan keamanan, karena ponsel dicuri dan hilang, dan transmisi SMS memiliki masalah keamanan, tulis mereka.

Penelitian ini ditulis oleh Stuart Schechter dan A.J. Berheim Brush of Microsoft Research dan Serge Egelman dari Carnegie Mellon University.