研究：秘密问题不保护密码

即使您的配偶不知道您的电子邮件密码，他或她也许知道足够的信息来获取它。

免费电子邮件提供商经常出席所谓的“秘密问题”作为重置账户密码的验证机制。但根据IEEE本周在加利福尼亚州奥克兰召开的安全与隐私专题讨论会上发布的一项新研究，其他人知道帐户持有人的答案往往很容易被人猜出

在其他情况下，陌生人可以成功地提供一些问题的答案，这就是共和党副总统候选人Sarah Palin如何失去对其雅虎账户的控制权。被指控控制该账户的大学生David Kernell表示，在网上进行不到一个小时的研究才得出Palin账户安全问题的正确答案。

[进一步阅读：如何从您的个人资料中删除恶意软件Windows PC]

该研究着眼于雅虎，谷歌，微软和AOL在2008年3月使用的问题。在一项测试中，研究人员将两个人配对在一起，电子邮件账户持有人表示他们不会相信其他人人与他们的密码。当与账户持有人的秘密问题一起提交时，另一人猜对了17％的时间。

在两个相互信任的人中，有一个合伙人能够为28％的时间为Hotmail账户提供正确答案，即使有用户编写的问题 - 谷歌现在使用的系统 - 一个完全陌生的人可以在5次尝试中15％的时间内猜出答案。

部分问题在于这些问题非常平淡，以至于一些互联网搜索可以列出喜爱的电视节目，苏打水，啤酒，演员等的列表，这有助于进行更有针对性的猜测。研究表明，地理数据有助于解决诸如“你最喜欢的运动队是什么”这样的问题。“我们的结果并不能使我们相信，今天的个人问题使得足够的身份验证秘密，”作者写道。 “那些难以猜测的人首先不太可能被用户选中，选择时他们不太可能被记住。”

尽管雅虎曾经在当时提出了最令人难忘的一组问题，该研究的参与者在六个月内忘记了自己的答案。作者写道，雅虎在二月份取代了全部九项个人认证问题。

这个问题并不容易解决。许多其他网站依赖于向个人帐户发送电子邮件来验证个人身份，但由于电子邮件帐户本身需要验证，因此存在问题。

防止统计猜测攻击的一种可能的解决方案将根据其受欢迎程度来惩罚错误的回应。作者写道，处罚的大小取决于合法用户在获得正确答案之前用多个受欢迎答案进行回答的机会。

研究中的数据表明，如果一个人错误地猜测了两个针对某个问题的流行回答，他们很少得到第三个问题。

另外，作者建议排除超过10％的统计可猜测的问题，比如“你最喜欢的城镇是什么？”。他们定义了一个答案，如果它是其他参与者在其研究中提供的五个最受欢迎的答案之一，则其统计学上可以猜测。另一种认证机制可以是由电子邮件提供商发送给个人的SMS（短消息服务）移动电话。但是这也带来了安全问题，因为手机被盗和丢失，并且短信传输具有安全隐患，他们写道。“这项研究由Stuart Schechter和A.J.编写。贝尔海姆刷微软研究和卡内基梅隆大学塞尔格埃格尔曼。