Sähköpostitilit huonossa suojassa
7
Sähköpostitilit suojataan käytännössä aina salasanalla, joten niiden voisi kuvitella olevan koko lailla turvassa ulkopuolisten silmiltä, jos salasana on kunnollinen. Hyvä salasanakaan ei välttämättä auta tilin suojaamiseen, sillä tutkimusten mukaan palveluntarjoajien turvakysymysrutiinit ovat löperöitä.
Turvakysymystä käytetään esimerkiksi, jos tilin haltija on unohtanut salasanansa tai haluaa vaihtaa sitä. Sähköpostipalvelujen lisäksi käytäntö on tuttu monesta muustakin verkkopalvelusta. Monessa palvelussa salasanaa pääsee vaihtamaan pelkästään turvakysymykseen oikein vastaamalla, ilman että tietää käytössä olevaa salasanaa.
Kahden brittiyliopiston tutkijat ovat selvittäneet asiaa, ja heidän löydöksistään on kertonut ainakin BBC.
Kysymys-vastausparit todettiin liian helposti aukeaviksi. Tutkijat havaitsivat, että jos hyökkääjälle annetaan kolme mahdollisuutta arvata vastaus, yksi 80 sähköpostitilistä saadaan murrettua. Samaa asiaa on tutkittu muuallakin. Erään amerikkalaistutkimuksen mukaan lähes joka viides tili avautuisi arvaamalla, jos sen murtoa olisi yrittämässä tilinhaltijan perheenjäsen tai muu läheinen.
Paljon vastauksiksi kelpaava tietoa on kaivettavissa julkisista rekistereistä, jos toden teolla halutaan päästä käsiksi jonkun ihmisen tiliin ja puuhaan käytetään muutamakin tunti aikaa.
Näennäisesti hyvätkin kysymykset voivat osoittautua helpoiksi pähkinöiksi. Ensimmäisen opettajan nimen kysyminen voi tuntua hyvältä valinnalta – ellei sitten opettajalla ole jokin kaikkein yleisimmistä sukunimistä.
Palveluntarjoajat voisivat tehdä oikein arvaamisesta vaikeampaa vaikkapa opettajaesimerkissä siten, että kysymystä ei käytettäisi, jos vastaus on liian helppo. Toinen tehokas tapa olisi käyttää kolmea erillistä kysymystä, mikä tekisi tilin murtamisen pelkällä arvausmenetelmällä todella vaikeaksi.
