보안 질문

Security question

보안 질문인증자로서 사용되는 공유 비밀[1] 한 형태다.은행, 케이블 회사, 무선 통신사가 흔히 추가 보안 계층으로 사용하고 있다.

역사

금융 기관들은 적어도 20세기 초부터 고객 인증을 위해 질문을 사용해 왔다.볼티모어 은행가 윌리엄 M은 1906년 미국 은행가 협회의 한 분과 회의에서 연설했다.헤이든은 자신의 기관이 보안 질문을 고객 서명 기록에 대한 보충 자료로 사용하는 것을 설명했다.그는 고객의 생가를 위한 공간인 '거주'와 어머니의 처녀적 이름, 직업, 나이 등을 새 계좌 개설에 사용한 시그니처 카드를 설명했다.[2]

헤이든은 이러한 항목들 중 일부는 종종 비워두고 '거주' 정보는 주로 고객에게 연락하기 위해 사용되었지만, 어머니의 처녀적 이름은 '신분성의 강력한 테스트'로서 유용했다고 언급했다.그는 고객 가족 이외의 사람이 고객 계좌에서 돈을 인출하려고 하는 경우는 드물다고 보았지만, 어머니의 처녀성은 가족 외부에 거의 알려지지 않았기 때문에 검증에 유용했고 계좌를 개설하는 사람들조차 "이 질문에 대한 준비가 되지 않은 경우가 많았다"[2]고 말했다.마찬가지로, 현대적인 관행 하에서, 신용카드 제공자는 분실된 카드의 대체품을 발급하기 전에 고객의 어머니처녀적 이름을 요청할 수 있다.[1]

2000년대에 인터넷에서는 보안 문제가 광범위하게 사용되기 시작했다.[1]셀프 서비스 비밀번호 재설정 형태의 하나로 보안 질문으로 정보기술 헬프 데스크 비용이 절감됐다.[1]온라인에서 보안 질문을 사용할 수 있게 함으로써,[3] 그들은 피싱뿐만 아니라 키 스트로크 기록무차별적인 추측 공격에 취약하게 된다.[4]또한 휴먼 고객 서비스 담당자는 부정확한 보안 답변을 적절하게 처리할 수 있지만 컴퓨터는 덜 능숙하다.이와 같이 사용자는 정확한 철자를 기억해야 하며, 때로는 그들이 제공하는 답의 경우조차 기억해야 하며, 이것은 더 많은 답들이 기록되어 신체적인 도용에 노출될 것이라는 위협을 제기한다.

적용

소셜 미디어의 공통적인 특성 때문에, 오래된 많은 전통적인 보안 질문들은 더 이상 유용하거나 안전하지 않다.보안 질문은 다른 암호일 뿐이라는 것을 기억해야 한다.따라서 보안 질문은 간단하고, 기억에 남고, 추측하기 어렵고, 시간이 지남에 따라 일정하게 유지되는 동시에, 소셜 미디어 웹사이트에서 쉽게 구할 수 있는 어떤 정보도 포함시켜서는 안 된다.모든 질문이 모든 사람에게 적용되는 것은 아니라는 것을 이해함으로써, RSA(미국 네트워크 보안 제공업체, EMC Corporation의 부서)는 은행에게 150개의 질문 중에서 선택할 수 있는 질문을 제공한다.[1]

많은 사람들이 보안 질문의 유용성에 의문을 제기해 왔다.[5][6][7]보안 전문가 브루스 슈나이어는 이 같은 사실은 사람에 대한 공공연한 사실이기 때문에 비밀번호보다는 해커의 추측이 쉽다고 지적한다.이를 알고 있는 이용자들은 질문에 대한 가짜 답을 만든 뒤 답을 잊어버려 취지를 꺾어 투자 가치가 없는 불편을 초래한다.[8]

참고 항목

참조

  1. ^ a b c d e Levin, Josh (2008-01-30). "In What City Did You Honeymoon? And other monstrously stupid bank security questions". Slate.
  2. ^ a b 윌리엄 M.헤이든(1906), Savings BanksSystems in Savings Banks, The Banking Law Journal 23권, 909페이지.
  3. ^ Bonneau, Joseph; Bursztein, Elie; Caron, Ilan; Jackson, Rob; Williamson, Mike (2015-05-18). "Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google". Proceedings of the 24th International Conference on World Wide Web. Florence Italy: International World Wide Web Conferences Steering Committee: 141–150. doi:10.1145/2736277.2741691. ISBN 978-1-4503-3469-3.
  4. ^ "Facebook users unwittingly partake in viral password hint scam by 'playing question games'". Your Content. 2021-05-30. Retrieved 2021-07-17.
  5. ^ Robert Lemnos, 당신의 "비밀 질문"이 너무 쉽게 대답되었는가?, MIT Technology Review, 2009년 5월 18일 (2015년 5월 21일 철회)
  6. ^ 빅터 럭커슨, 당신의 보안 질문에 대해 고통스럽게 뻔한 답변을 그만 쓰세요, 타임지, 2015년 5월 21일 (2015년 5월 21일 철회)
  7. ^ Elie Burztein, 새로운 연구: '보안 질문'위한가지 어려운 질문, 제24회 국제 WW 2015년 이탈리아 플로렌스, 2015년 5월 18일 - 22일, Google 온라인 보안 블로그, 2015년 5월 21일(수령 2015년 5월 21일)
  8. ^ Bruce Schneier. "The Curse of the Security Question".