RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→25 июн 2009→Забыл пароль — ищи поручителей
Забыл пароль — ищи поручителей
Блогер
опубликовано 25 июн 2009, 17:12 MSK
Сюжеты: Утечки конфиденциальной информации
При потере пользователем пароля многие веб-сервисы используют механизм аутентификации, который при замене/восстановлении пароля предлагает претенденту ответить на контрольный вопрос. При этом сам вопрос и ответ на него выбирает владелец аккаунта при регистрации.
Однако, по данным Microsoft, 20% придуманных пользователями ответов забываются через полгода. Кроме того, поставленный сотрудниками компании эксперимент [PDF 181Кб] обнаружил: в 17% случаев контрольная пара вопрос-ответ бывает столь бесхитростной, что подобрать правильный ответ не составляет особого труда.
Эксперты предлагают альтернативную систему, основанную на привлечении третьей стороны. Пользователь выбирает несколько доверенных лиц, которые в случае нужды по сигналу загружают фрагменты защитного кода. Собранные воедино, они позволят восстановить в правах владельца аккаунта.
Новый механизм прошел испытания и показал эффективность 90%. По оценке Microsoft, эффективность системы вопрос-ответ составляет 80%. Однако исследователи не настаивают на замене, предлагая свой вариант как опцию. Важно также, чтобы «поручители» осознавали свою миссию и не допускали утечки конфиденциальной информации.
27 июн 2009, 00:05
А что из себя представляют "фрагменты защитного кода"? Если это разбитый на части ответ, то тогда эти самые доверенные люди тоже попадают под категорию "20% придуманных пользователями ответов забываются через полгода". Да и интернет такая вещь, что люди приходят и уходят. Дело в психологии людей а не в сложности механизма. |
Anonim
27 июн 2009, 15:42
|
1 |
Re: социальная авторизация и психология
Предложенный социальный механизм аутентификации подробно описан в http://research.microsoft.com/pubs/79349/paper1459-schechter.pdf, и позиционируется как последний шанс. Доверенные лица не являются хранителями кода, они запрашивают его по оффлайн-сигналу доверителя на веб-сайте. Процедура загрузки кода выполняется в четыре этапа и предусматривает верификацию поручителя, который был заранее заведен в систему доверителем. Шесть символов кода поручитель получает, скопировав в окно браузера ссылку, которую система высылает в его адрес письмом.
Система опробована на live.com и обнаружила два узких места: доверители забывают своих поручителей, а последние готовы сообщить код по телефону общим знакомым.
Человеческий фактор!
Текучку пользовательских кадров в интернете, видимо, тоже нужно принимать во внимание.
|
29 июн 2009, 11:33
Не совсем ясно, что они думают по поводу, если один из поручителей не доступен, к примеру уехал в отпуск на 2 недели ?! |
Anonim
29 июн 2009, 16:11
|
0 |
Re: если один из поручителей не доступен, к примеру уехал в отпуск на 2 недели ?!
Разве что в дебри Африки или российскую глубинку :)
Надо выбирать поручителей с мобилой и Wi-Fi. Кстати, SMS не катит - можно подделать.
|
06 авг 2009, 12:13
Блииииннн что делать??? Уважаемые пользователи очень прошу подскажите,что мне делать?При входе на сайт вконтакте,у меня пишет Не зарегестрирываный почтовый адрес или пароль не верный(ХОтя на 100 процентов я уверен,что правельный)я нажимал забыли пароль и вписывал email что бы на него пароль пришёлно мне на email нечего не проходит подскажите как ещё можно узнать пароль? |
|
0 |
Re: Блииииннн что делать???
Не в тему както пост. Лучше на форум.
Вариантов то немного:
1) зайди сначало сюда: http://www.securelist.com/ru/weblog . Проверь в базе свой mail.
2) жди письма на mail
3) проверить есть ли твоя страничка до сих пор (может удалили вообще)
4)забить на это дело
Вообще надо проще относиться к таким сайтам. И ничего там о себе особого не писать. Пароль-такая ненадёжная вещь...
Ссылки по теме
Также в аналитике
В веблоге
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей