Computerworld News Service: Selvom din ægtefælle ikke kender kodeordet til din e-mail, så ved han eller hun sikkert nok om dig til at få fingrene i det.
Udbydere af gratis e-mailtjenester præsenterer ofte et såkaldt 'hemmeligt spørgsmål' som en bekræftende mekanisme til, hvis kodeordet til e-mailkontoen skal nulstilles. Men de svar, som brugerne angiver, kan ofte gættes af folk, der kender kontoindehaveren, påpeger en ny undersøgelse [pdf], der vil blive offentliggjort under IEEE Symposium on Security and Privacy i denne uge i Oakland, Californien.
I andre tilfælde kan selv fremmede give de rigtige svar til disse sikkerhedsspørgsmål.
Det var sådan, der blev brudt ind i den republikanske vicepræsidentkandidat Sarah Palins e-mailkonto hos Yahoo. Den universitetsstuderende David Kernell, der blev tiltalt for at have kapret kontoen, fortalte, at det tog under en times research på nettet at finde de rigtige svar på sikkerhedsspørgsmålene til Palins e-mailkonto.
I undersøgelsen kigges der på de hemmelige spørgsmål, der blev brugt af Yahoo, Google, Microsoft og AOL i marts 2008. I en test satte forskerne blandt andet to folk sammen, hvor kontoindehaveren ikke stolte nok på den anden person til at give den person sit kodeord. Denne anden person kunne gætte svaret til det hemmelige spørgsmål i 17 procent af tilfældene.
Blandt to folk, der stolede på hinanden, blev svaret til et af standardspørgsmålene i Hotmail gættet i 28 procent af tilfældene.
Selv hvor spørgsmålene er opfundet af brugeren selv - hvilket er det system, som Googles Gmail bruger - kunne en fuldstændig fremmed gætte svaret i 15 procent af tilfældene og inden for fem forsøg.
Nemme løsninger
En del af problemet er, at spørgsmålene er så karakterløse, at en hurtig søgning på internettet kan opspore en lang liste af yndlings-tv-programmer, -sodavand, -øl, -skuespillere, og så videre, der kan gøre det muligt at foretage nogle kvalificerede gæt. Geografisk data hjælper også til at svare på spørgsmål, såsom "hvad er dit favoritsportshold?" påpeger undersøgelsen.
"Vores konklusioner giver os ikke tiltro til, at de aktuelle personlige spørgsmål udgør nogen tilstrækkelig autentifikation," skriver forfatterne.
"De spørgsmål, der er sværere at gætte, er der også mindre sandsynlighed for, at brugerne vælger, og når de vælges, er der større sandsynlighed for, at de bliver glemt."
Selvom Yahoos sæt af spørgsmål på det tidspunkt var de spørgsmål, der var størst sandsynlighed for at huske, så viser undersøgelsen, at deltagerne glemte deres egne svar inden for seks måneder. Forfatterne skriver, at Yahoo udskiftede alle ni spørgsmål i februar.
Svar pr. e-mail
Der findes ingen let løsning til problemet. Mange andre websites kræver, at der svares på en e-mail, når en person skal autentificeres, men dette er problematisk, når det er selve e-mailkontoen, det handler om at autentificere adgang til.
En mulig løsning, der kan værne mod statistisk gætværk, er, at straffe forkerte svar afhængig af deres popularitet. Straffens størrelse, skriver forfatterne til undersøgelsen, bør afhænge af chancerne for, at en legitim bruger angiver adskillige forkerte, populære svar før det rigtige svar.
Undersøgelsen viser, at hvis en person gætter forkert med to populære svar til et spørgsmål, så gætter de sjældent rigtigt på det tredje spørgsmål.
Forfatterne anbefaler også at udelukke spørgsmål, hvor svaret statistisk set kan gættes i mere end 10 procent af tilfældene - som 'hvad er din yndlingsby?' De definerer, at et svar statistisk set kan gættes, hvis det er blandt de fem mest populære svar angivet af undersøgelsens deltagere.
En anden mekanisme til autentifikation kunne være, at e-mail-leverandøren sender en SMS til personens mobiltelefon. Men det giver andre risici, for mobiltelefoner bliver stjålet og tabt, og SMS-trafik har sine egne sikkerhedsproblemer, skriver forfatterne.
Undersøgelsen er udført af Stuart Schechter og A. J. Berheim Brush fra Microsoft Research og Serge Egelman fra Carnegie Mellon University.
Oversat af Thomas Bøndergaard
