Google研究：網站常用的安全通關問題機制，不夠安全可靠！

Google公佈研究指出，一些網站用來幫助使用者恢復帳號的安全通關問題是一種相當不可靠的安全機制，因為答案不是他人很容易猜出來，就是使用者自己想不起來。而Google雖然也採用這項機制，但絕不會當作幫助使用者取回帳號的主要方法。

網站常會要求用戶在設定密碼時再提供一組安全通關問題，像是「你第一隻寵物的名字」、「你最喜歡的食物」或「母親娘家的姓」的答案，以便幫助使用者恢復密碼。為了解這些問題的安全程度，Google反入侵研究小組研究人員深入分析Google服務中數億組安全通關問題及答案，並在WWW 2015會議公佈研究結果。

研究顯示，利用這些問題作為密碼回復的協助機制，其安全性和效果都不盡理想，因為答案不是太好猜，就是太難記，或是兩者皆是。

其中有些答案很容易搜集，或在某些文化中很好猜。例如駭客有19.7%的機會一次就猜對英語系用戶最喜歡的食物是披薩。如果可以猜10次，攻擊者猜對韓國用戶出生地的機率為39%，43%的機會猜對他們最喜歡的食物，24%機會猜對阿拉伯人「第一個老師的名字」，猜對西班牙語使用者「你老爸的中間名」的比率則是21%。而像電話號碼或最常坐的航班班次等看似很安全的問題，結果是37%的人提供假答案而弄巧成拙的反讓答案變得比較好猜測。

另一方面，還有些題目實在過於困難，讓使用者自己也記不住答案，像是借書證號碼或是最常坐的航班班次，用戶記得起來的比例只有22%及9%。研究人員發現，40%的英語系美國Google用戶在需要時想不起與自身秘密有關的通關答案，而這些人有超過80%可能藉由簡訊，近75%的人用電子郵件重設密碼。Google指出，對英語系美國Google用戶來說，像「父親的中間名」是答案較好記也好用的問題，答對率有76%。但看似比較安全的「你的第一支手機號碼」答對率只有55%。

Google並指出，兩組安全通關問題的設計雖然更安全，但即使是「出生地」及「父親的中間名」這種容易的問題，人們同時答對兩題的比例卻也是大幅下降，因此這並不是好方法。

Google表示，安全通關問題一向是網站用來驗證及回復使用者帳號的主要方法，但這次的研究發現，讓網站和使用者都必需重新思考它的重要性。Google也強調Google長年來只在文字簡訊或備份電子郵件回復無效時，才會使用安全通關問題的機制，絕不會單獨用它來證明帳號所有權。Google也建議網站管理員應同時使用其他驗證方法，像是以簡訊或次要電子郵件寄送備份碼，以確保安全性及使用者經驗。（編譯/林妍溱）