你母親的娘家姓是4tz9Ru#p 你的童年好友是b2p^fqw
隨機強口令的使用幾乎已成主流,略有一點安全意識的人都清楚:“password1”或“1234567”這種口令不會給他們帶來任何好處。但即便口令安全有所改善,卻有更嚴重的問題潛藏其下:安全問題。
由于雅虎數據泄露事件,如果你正好有個雅虎賬戶,那恭喜你,恐怕你得另找個新媽媽,或者在另一個城市成長了。多個站點間安全問題及答案的重復使用,意味著雅虎數據泄露的影響,相當于生態災害的網絡安全版。
上個月底,雅虎曝出大規模黑客事件,至少5億用戶數據被國家支持的入侵者盜取。且該公司被盜數據列表中不僅包括了通常的口令字散列值和電子郵件地址,還有受害者用以重置口令而設的安全問題和答案——你最喜歡的度假地點或你成長的街道等本應私密的信息。雅虎的數據大泄洪,昭示出這些無傷大雅的問題依然是我們網上身份驗證驗證系統的薄弱環節。安全社區對這種安全問題的態度是:這玩意兒早該廢棄了——而在尚未廢棄之時,你也不應誠實回答。
安全問題既容易被猜出來,在遭遇重大泄露事件(如近期的雅虎)之后又難以修改,作為口令的應急機制,實在是太不合格了。它們本應作為可靠的最后救援手段:即便忘記了復雜的口令,思路是不會變的,母親娘家姓氏或自己出生的城市是不會忘記的。但是,依靠這些根本不保密的真實數據——Web和社交媒體搜索常會暴露出人們的成長地點或第一輛車的牌子,安全問題方法會讓賬戶處于風險之中。而且,鑒于你第一只寵物的名字通常不會改變,如果你對這些安全問題的回答被數字窺探或數據泄露披露了,那么多個數字服務的安全問題也就同時沒用了。
母親的娘家姓還是重設一下吧
所有這些都讓安全專家無比期待它們的消亡。既然口令都不安全了,那為什么安全問題能享受特殊待遇一直生存下去?每發生一起數據泄露,就有更多的個人信息暴露出來,猜解安全問題答案會變得更簡單,黑客也可以重用被泄安全答案染指其他服務。只要收集整合各起泄露事件成果,攻擊者總能獲得越來越多的用戶信息。
甚至聯邦政府都已經準備好拋棄安全問題。7月,美國國家標準技術局(NIST)發布了一份新提交的草案——《數字身份驗證指南》,該指南的上一個版本還將“預先登記的知識令牌”,也就是安全問題,列入身份驗證推薦技術中,但新草案就完全沒提到此類方法。換句話說,NIST不再將安全問題作為保護聯邦賬戶的措施之一。就連因泄露事件而提供用戶賬戶保護工具的雅虎自身,現在也特別指出,“為保護您的賬戶,我們建議您禁用安全問題。”
2015年,2名谷歌安全研究員曾在文章中分析了安全問題方法的弱點。他們認為:“安全問題既不安全,又不可靠,不足以用作獨立的賬戶恢復機制。其存在根本性缺陷:這些答案要么安全,要么好記,但極少兩者兼備。”
其實早在這份研究出爐之前,谷歌就已經在逐步淘汰安全問題,轉而要求用戶設置短信和備份電子郵件來提交賬戶恢復了。
無法一蹴而就
然而,從安全問題上轉型并不容易。公司需要實現另外的意外事件解決方案,比如發送口令重置指令到備份電子郵件地址,要求用戶提供實體驗證加密狗,或者使用安全身份驗證App發來的實時驗證碼。但是,情況依然在惡化,因為甚至發送短信到預定義手機號,這種當前流行的安全問題替代方案,也有其自身的安全弊端。出品了流行口令管理器 1Password 的AgilBite公司產品安全官就說過,“問題很難解決,(不)安全問題很棘手。談論它們引發的糟糕安全漏洞很容易,提供替代方案卻十分困難。”
不過NIST負責標準修訂的高級標準與技術顧問保羅·格拉西倒是覺得,安全問題的可用替代方案很多,足以支持讓安全問題退出歷史舞臺,即便是聯邦政府這么龐大復雜的機構也夠用。一招通殺的萬靈藥肯定沒有,但值得欣喜的是,各家機構都在出品很多東西。想要谷歌Prompts?拿來用就是了。想要U2F,用唄!就算想要寄到府上的書面憑證也行啊。
流行Web服務正試圖從安全問題遷移到這些更高級的方法,不過,各自的遷移進程不同。大多數網站都會在登錄頁面顯示“忘記口令?”鏈接,引導用戶去向口令修改工具。但想要修改安全問題本身,你就得翻遍賬戶選項了。
推特似乎根本沒采用安全問題的方法來進行賬號恢復。Facebook首選預留的備份電子郵件地址和手機號,安全問題只是以上二者都不可用情況下的最后手段。不過,Facebook不允許用戶更新或改善他們的問題。亞馬遜支付與Facebook策略相同。很多銀行,比如花旗銀行、道明銀行、富達銀行,依然高度依賴安全問題作為賬戶恢復技術。
我第一輛車是Y^i72b(lV$
鑒于安全問題還不會很快消亡,可以暫時先采取些措施加固一下——至少在某些服務上。強化安全問題的最佳方法,就是在答案中撒謊,最好是用隨機字符串作為答案,而不是提交有意義的信息。這么做,即便有問題問的是鮮為人知的生活細節,你也不會曝露出可能在安全事件中被泄的答案。
| 數據泄露頻發的時代,你母親的娘家姓應該是4tz9Ru#p,你的童年好友應該是b2p^fqw。
——Christopher Soghoian (@csoghoian) September 23, 2016 |
| 安全問題的答案怎樣做到強壯又獨特?把它們當做口令一樣設置就好。
——Whitney Merrill (@wbm312) September 23, 2016 |
當然,這種方法會讓安全答案根本不可能像真實個人信息一樣好記。這也是為什么應該依靠口令管理器的原因所在,管理器不僅僅存儲隨機產生的強口令,還能存儲安全答案。
如果你已經花時間往口令管理器中添加了盡可能多的賬戶并隨機化了所有口令,那你就能體會到這是一個可行但耗時的工程。即便你手速快效率高,1個口令的重置、添加和確保正確存儲到口令管理器,也是需要花費1到2分鐘的。互聯網深度用戶通常會有100多個數字賬戶關聯到他們的主電子郵件地址,在安全機制并不總是觸手可得的情況下,隨機化每個安全問題依然步履維艱。
專注修改包含有最敏感數據的安全答案是個不錯的建議,比如含有你電子郵件、財務和醫療賬戶的那些。而且即使你是那種不用口令管理器的人,現在開始用它跟蹤安全答案也不晚。每個網站或服務都應有唯一的口令,安全問題的答案同理,而口令管理器可以完美解決這個問題。你可以先從決定將某些安全答案放到口令管理器中開始,不用去做那些不可能做到的事——比如記憶上百個隨機安全答案。
只要當成第二個強口令使用,安全問題也是能提供一定的保護性的。不過,由于在線服務數年來都在訓練用戶輸入極不安全的安全答案,想要改變不會太容易。安全問題這套系統,最好情況也就是像口令一樣健壯,最壞情況卻能將你寵物的名字變成危險的安全漏洞。
安全問題,是時候說再見了。
