Hed din mor virkelig Vjrtgsyvdh ?

Da jeg var i USA, opdagede jeg ret hurtigt, at uanset hvem eller hvad man talte med på telefon, banken, udlejeren, Hertz, osv, brugte de "Mothers Maiden Name" som authentifikation.

Det forekom mig tåbeligt usikkert, hvilket nærlæsning af aviser også snart dokumenterede.

Senere dukkede fænomenet op på internettet, hos PayPal f.eks, men det gør ikke systemet bedre på nogen måde, tværtimod, det betyder at en angriber i ro og fred kan prøve sig frem.

Nu afdækker et paper at sandsynligheden for at gætte rigtigt, ved bare at skyde fra hoften, aldrig er ringere end 1:4000 fordi der kun er 12 bits entropi i et sådan spørgsmål.

Vel at mærke hvis hele navnet skal angives.

Bruges kun fornavn eller efternavn, er vi under 1:250, men i særlige subkulturer kan tallet være endnu lavere, f.eks hedder mexikanere "Gonzalez", islandske kvinder "Guðrún" og kæledyr "Buddy".

Tip med hatten til Joseph Bonneau, medlem af Ross Andersons sikkerhedsgruppe på Cambridge University, og Mike Just og Greg Matthews fra University of Edinburgh.

Læs mere i Light Blue Touchpaper bloggen.

phk

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henning Makholm

Der er så mange ting galt med "mors pigenavn" som autentifikation at det er svært at udpege en af dem som den værste.

Her i landet er traditionen vist mere at bruge cpr-numre til at autentificere på et lignende pseudo-niveau. Der er (idet de færreste så meget som forsøger at holde deres fødselsdag, alder eller køn hemmeligt) op til 9 bits entropi i, hvis man er henvist til at gætte.

Det er heldigvis efterhånden forbudt for de fleste private parter at bruge cpr-nummer som autentifikation -- men det er ikke fordi det er en dårlig autentifikation, det er for at holde de 9 bits hemmelighed frisk til brug for offentlige myndigheder! Ak, ak.

  • 0
  • 0
Erik Cederstrand

Endnu bedre bliver det, hvis ens forældre ikke er gift.

Det er jo en umulighed. Amerikanere har ikke sex før ægteskabet...

Jeg ved ikke om det stadig er sådan, men for 20 år siden var det helt almindeligt, at fruen slet ikke havde noget navn, når hun optrådte i forbindelse med sin mand; de hed slet og ret "Mr. And Mrs. John Doe".

At fruen skulle have beholdt sit oprindelige efternavn eller, gud forbyde det, at manden skulle have taget fruens efternavn, var utænkeligt.

  • 0
  • 0
Lars Lundin

Som PHK viser i overskriften er systemet godt nok, når bare man indser at svaret på spørgsmålet ikke behøver at være sandt. (Jeg indså det kun ved et tilfælde, fordi en af mine nære slægtninge ikke har noget mellemnavn).

Andre fortæller at de bliver spurgt: Hedder din far virkelig Goatse til mellemnavn? :-)

PS. Blandt entropiens andre interessante anvendelser er på din browsers User Agent String. I gennemsnit har den 10.5 bits entropi, dvs. med cookies slået fra kan man stadig i gennemsnit genkende en given browser blandt 1500 andre. Så af hensyn til sit privatlivs fred bør man ikke skrive særlige hilsner i sin User Agent String. Se f.eks. http://www.infosecurity-us.com/view/6915/eff-launches-web-browser-entrop...

  • 0
  • 0
Leonard Kramer

""Endnu bedre bliver det, hvis ens forældre ikke er gift."

Hvordan skulle det ændre noget? Antallet af forskellige navne bliver jo ikke mindre af den grund."

Fordi din mor sandsynligvis saa har samme efternavn som dig selv.

Det er i hvert fald tilfaeldet for mig. Det siger sig selv at jeg ikke bruger Maiden Name sikkerhedsspoergsmaalet i helt efter bogen :)

  • 0
  • 0
Kim Sørensen

Jeg kan stadigvæk ikke se hvordan det skulle ændre noget? Artiklens pointe er at du har odds 1:4000 for at finde svaret ved et rent gæt. De odds kan jeg ikke se skulle ændre sig, alt efter ens forældres ægteskabelige status - antallet af mulige svar er jo det samme under alle omstændigheder?

Hvis man kender dine forældres ægteskabelige status og deres navne er der vel ikke længere tale om et rent gæt? :)

  • 0
  • 0
Jonas Høgh

Step 1: Du finder et kontoudtog i min skraldespand, hvorpå der står Jonas Eltang Høgh, konto nummer XX.

Step 2: Du ringer til banken og giver dig ud for at være mig, beder om at få overført penge, og de spørger hvad min mor hedder.

Step 3: Du gætter på Eltang, hvilket er korrekt, da mine forældre ikke er gift.

Step 4: Profit!

  • 0
  • 0
Kim Sørensen

Nu afdækker et paper at sandsynligheden for at gætte rigtigt, ved bare at skyde fra hoften, aldrig er ringere end 1:4000 fordi der kun er 12 bits entropi i et sådan spørgsmål.

Har du overhovedet læst artiklen? Hvis du har adgang til kontoudtog er der vel næppe tale om at "skyde fra hoften"? :)

Jeg mangler stadigvæk en forklaring på hvordan ens forældres ægteskabelige status ændrer på antallet af navne.

  • 0
  • 0
Jonas Høgh

Det ændrer naturligvis ikke på antallet af navne, men hvis et sådant "sikkerheds"-system blev indført i Danmark, ville jeg, der hedder det samme som min mors "Maiden name", være endnu dårligere stillet sikkerhedsmæssigt, end de, hvor det i det mindste er en smule vanskeligt at finde frem til moderens navn.

  • 0
  • 0
Log ind eller Opret konto for at kommentere