Google: ‘Beveiligingsvragen zijn onveilig en onbetrouwbaar’

  1. 22 mei 2015
  2. 0 reacties

Niet alleen wachtwoorden zijn onveilig, maar ook de beveiligingsvragen waarmee wachtwoorden kunnen worden hersteld. Beveiligingsvragen zijn als een losstaande methode om accounts te kunnen herstellen onveilig en onbetrouwbaar.

Dit concludeert Google na honderden miljoenen geheime beveiligingsvragen en en de bijhorende antwoorden te analyseren. Veel vragen blijken zonder problemen te kunnen worden geraden. Zo blijkt een aanvaller 19,7% kans te hebben het antwoord op de beveiligingsvraag ‘Wat is uw favoriete eten?’ van een Engelstalige gebruiker in één keer te raden.

39% kans om de geboorteplaats te raden

Als we een aanvaller tien pogingen geven stijgt de slagingskans in sommige gevallen aanzienlijk. Zo blijkt een aanvaller in dit geval 39% kans te hebben het antwoord van een Koreaanse gebruiker op de vraag ‘Wat is uw geboorteplaats?’ te raden en 43% kans om het favoriete eten van de gebruiker te raden. Ook heeft een aanvaller 21% kans hebben het antwoord op de vraag ‘Wat is de tweede naam van uw vader?’ van een Spaanse gebruiker in tien pogingen te raden.

37% van de gebruikers blijkt bewust verkeerde antwoorden in te vullen met het idee dat dit hun digitale veiligheid vergroot. In veel gevallen zou dit echter juist tegen hen werken, aangezien gebruikers vaak bij verschillende diensten hetzelfde valse antwoord invoeren. Hiermee vergroten gebruikers juist de kans dat een aanvaller toegang weet te krijgen tot een account.

Wat is de waarde van beveiligingsvragen?

Google adviseert gebruikers en websitebeheerders kritisch te kijken naar de waarde van beveiligingsvragen. Gebruikers van Google worden geadviseerd zeker te stellen dat zij actuele herstelinformatie hebben achtergelaten bij Google, wat kan via een Security Checkup. Google stelt beveiligingsvragen al langer alleen in uiterste nood te gebruiken als herstellen via SMS of e-mail niet mogelijk blijkt. In dit geval worden aanvullende maatregelen genomen om de identiteit van de gebruiker te controleren.

Meer over
Lees ook
Edwin Prinsen benoemd tot Managing Director van security-leverancier Cisco

Edwin Prinsen benoemd tot Managing Director van security-leverancier Cisco

Cisco maakt bekend dat Edwin Prinsen is benoemd tot Managing Director van Cisco Nederland. Prinsen volgt per 15 maart 2014 Coks Stoffer op, die het bedrijf in 2013 verliet. Prinsen is sinds oktober 2009 Managing Director van Imtech ICT Nederland, een van de grootste Europese technische dienstverleners op het gebied van ICT, elektrotechniek en wer1

'NSA kan offline systemen op kilometers afstand afluisteren'

'NSA kan offline systemen op kilometers afstand afluisteren'

De Amerikaanse inlichtingendienst NSA gebruikt radiogolven om systemen die niet met internet zijn verbonden te kunnen hacken. De onthulling bewijst opnieuw dat het offline houden van systemen geen garantie is voor een veilig systeem. The New York Times meldt op basis van NSA-documenten dat het programma voor het afluisteren van offline systemen d1

Van phishing verdachte student blijft voorlopig op vrije voeten

Van phishing verdachte student blijft voorlopig op vrije voeten

Een 24-jarige student van de Saxion Hogeschool in Deventer die door de Verenigde Staten (VS) wordt verdacht van deelname aan een phishingaanval blijft voorlopig op vrije voeten. Dit heeft het gerechtshof in Leeuwarden bepaald. De VS hebben om uitlevering van de 24-jarige Vietnamees die in Deventer studeert gevraagd. Het gerechtshof in Leeuwarden1