Câu hỏi lấy lại mật khẩu webmail không an toàn

Theo báo cáo từ dự án nghiên cứu của trường Đại học Carnegie Mellon và Microsoft, các câu hỏi xác thực để lấy lại mật khẩu người dùng của 4 nhà cung cấp dịch vụ webmail lớn hiện đang sử dụng là không an toàn.

4 nhà cung cấp dịch vụ thư điện tử trên trang web (webmail) phổ biến nhất, gồm AOL, Google, Microsoft và Yahoo, tin tưởng vào các câu hỏi cá nhân như những bí mật nhận diện thứ cấp được sử dụng để khôi phục lại mật khẩu tài khoản người dùng.

Khi nghiên cứu độ tin cậy và tính bảo mật của các câu hỏi được 4 nhà cung cấp webmail sử dụng, các nhà nghiên cứu đã tìm ra những sơ hở bảo mật trong quy trình này. Đối với những câu hỏi xác thực được nhà cung cấp đưa ra có thể đoán được 20% câu trả lời. Hơn nữa, chỉ trong 6 tháng, 20% người dùng sẽ quên câu hỏi bảo mật của họ.

Về phía nhà cung cấp dịch vụ webmail, thật khó để nhận biết được người sử dụng nào bị mất mật khẩu vì nhiều người chỉ dùng một địa chỉ email để thực hiện các hoạt động trực tuyến. Trong khi các dịch vụ web khác có thể nhận diện người dùng quên mật khẩu qua địa chỉ email của họ.

Năm ngoái, tài khoản Yahoo Mail của ứng viên phó tổng thống Mỹ của đảng Cộng hòa Sarah Palin đã bị tấn công. Bọn tội phạm đã khai thác lỗ hổng của các câu hỏi cá nhân như các nhà nghiên cứu đưa ra.

Vì vậy, các nhà nghiên cứu cảnh báo, các câu hỏi bí mật được 4 nhà cung cấp dịch vụ webmail hàng đầu đưa ra không đủ độ tin cậy về tính xác thực. Độ an toàn của các câu hỏi cá nhân là yếu hơn so với mật khẩu của tài khoản.

Sau đó, Yahoo đã thay đổi tất cả 9 trong số những câu hỏi cá nhân đưa ra cho người dùng. Tuy nhiên, Gmail, AOL và Microsoft vẫn không có động thái gì để thay đổi những câu hỏi xác nhận mật khẩu của người dùng. Microsoft không có bình luận gì về sự việc trên.

Thứ Sáu, 26/06/2009 08:48