Google: Câu hỏi bảo mật là hoàn toàn vô nghĩa

Khi tạo tài khoản trên mạng, chắc hẳn bạn đã ít nhất một lần phải sử dụng tới các câu hỏi bảo mật như "Tên thú cưng đầu tiên của bạn là gì?". Theo nghiên cứu của Google, các câu hỏi này sẽ… tiếp tay cho hacker xâm nhập thông tin của bạn dễ dàng hơn.,

Trong một nghiên cứu mới công bố trong tuần qua, các nhà nghiên cứu của Google cho biết các câu hỏi bảo mật của người dùng thường kém an toàn và dễ đoán hơn cả mật khẩu thông thường. Đây là một thông tin rất đáng lo ngại, bởi nhiều dịch vụ mạng cho đến giờ vẫn yêu cầu người dùng trả lời câu hỏi bảo mật để xác định danh tính trong trường hợp người dùng đã quên mật khẩu chính.

Theo nghiên cứu này, lý do chính khiến cho các câu hỏi bảo mật trở nên kém an toàn là do người dùng thường… nói dối khi cài đặt các câu hỏi bảo mật. Tuy vậy, câu trả lời (sai lệch so với thực tế) mà họ đưa ra thường rất dễ đoán. Lựa chọn dùng thông tin sai lệch để trả lời các câu hỏi bảo mật cũng gây ra một vấn đề khác không kém phần khó chịu: rất nhiều người dùng không thể nhớ được câu trả lời cho câu hỏi bảo mật của mình.

Khi thiết kế các câu hỏi bảo mật (ví dụ như "Tên thời thiếu nữ của mẹ bạn" hoặc "Trường cấp 2 của bạn là gì"), mục tiêu của các trang web là lựa chọn các thông tin rất dễ nhớ với người dùng nhưng lại khó đoán đối với hacker. Theo nghiên cứu của Google, điều này gần như là bất khả thi:

"So sánh độ phức tạp của các câu hỏi và tính dễ nhớ của chúng cho thấy các câu hỏi an toàn nhất (ví dụ như số điện thoại đầu tiên của bạn) lại là những câu khó ghi nhớ nhất". Ví dụ, chỉ có 9% người dùng tham gia vào nghiên cứu của Google có thể ghi nhớ được mã số bay thường sử dụng của mình.

Đồng thời, các vụ hack nhắm vào các câu hỏi bảo mật mang tính chất cá nhân thường rất nguy hiểm, do nhiều người dùng sẽ đưa ra các câu trả lời giống nhau cho cùng một câu hỏi. Ví dụ, chỉ với một lần đoán dành cho câu hỏi "Món ăn ưa thích của bạn", khả năng hacker đoán trúng câu trả lời của người dùng tại các nước nói tiếng Anh đã là… 19,7% (câu trả lời là "pizza"). Hoặc, với 10 lượt đoán, hacker đã có thể trả lời chính xác thành phố quê hương của 39% người dùng nói tiếng Hàn.

Cuối cùng, các câu hỏi bảo mật cũng trở nên… phản tác dụng khi vô tình giới hạn số lượng câu trả lời mà người dùng có thể đưa ra. Ví dụ, những câu hỏi dạng "Ai là siêu nhân ưa thích của bạn" sẽ chỉ khiến cho hacker có thể nhanh chóng truy cập được vào tài khoản của người dùng, do số lượng câu trả lời dành cho câu hỏi này là không nhiều.

Hiện tại, người dùng có thể lựa chọn các hình thức bảo vệ an toàn hơn, ví dụ như xác thực 2 yếu tố. Tuy vậy, vẫn còn quá nhiều trang web/dịch vụ dữ liệu đang sử dụng các câu hỏi bảo mật để xác thực danh tính của người dùng khi họ quên mật khẩu và yêu cầu gửi lại/cài đặt lại mật khẩu. Xét tới tính bất cập của các câu hỏi bảo mật, đó sẽ là một bài toán khó giải cho các trang web trong tương lai.

Lê Hoàng

Theo BGR