您的安全性有多安全?

2020年3月2日 作者 奇先生 0
难度 <! – 6 – >
所需时间 平均(6-10天)
先决条件
材料可用性 一应俱全
费用 非常低(低于20美元)
安全 没有问题

 

摘要

许多网站要求您回答”安全问题” ,例如”您妈妈的婚前姓名是什么?” ,以便在忘记密码或登录ID时恢复您的帐户。但是,有时这些问题的答案很容易在网上找到。这是否会对电子邮件和网上银行等重要帐户的安全构成风险?人们是否意识到这些信息可以在线获取?在这个项目中,您将研究人们对安全问题的安全性,并将其与您在线查找这些问题的答案的现实情况进行比较。

目的

确定您是否可以在线查找有关某人的公开信息,以查找常见帐户安全问题的答案。

积分

 

Ben Finio,PhD,Science Buddies

引用本页

此处提供了一般引用信息。请务必检查所使用方法的格式,包括大小写,并根据需要更新引文。

MLA风格

菲尼奥,本。”您的安全性有多安全?” 科学伙伴,2019年1月26日,https://www.sciencebuddies.org/science-fair-projects/project-ideas/Cyber​​_p007/cybersecurity/security-questions。2019年7月6日访问。

 

APA风格

菲尼奥(2019年1月26日)。您的安全性有多安全?从…获得https://www.sciencebuddies.org/science-fair-projects/project-ideas/Cyber​​_p007/cybersecurity/security-questions

最后编辑日期:2019-01-26

简介

你有没有忘记密码?你有多少?您可能听说过,您应该避免使用”密码” 或”123456″ 之类的容易猜到的密码,并且您应该为每个网站,社交媒体,游戏,学校使用不同的密码,或您拥有的其他在线帐户。这是要记住的很多密码!不可避免的是,有时候人们会忘记密码,需要一种方法来验证或验证他们的身份,以便重新进入他们的帐户。有些网站允许您通过回答一系列安全问题来做到这一点,这些问题会询问有关您应该知道的所谓的个人信息。如果您能够正确回答所有问题,那么该网站会认为它确实是您而非冒充您的人,并会恢复对您帐户的访问权限。

然而,许多问题对其他人来说可能很简单。你妈妈的娘家姓什么?你的第一个宠物的名字是什么?你最喜欢的乐队是哪个?亲密的朋友和家人可以轻松回答这些问题。即使是根本不了解你的人也许能够轻松猜出或找到问题的答案。他们可以为”你最喜欢的食物是什么?” 尝试一个常见的答案,如”披萨” 或”冰淇淋” ,​​查看你在Facebook等社交媒体网站上的个人资料,找出你出生在哪个城市,然后使用Google查看公共政府记录或家谱网站,以找到您父母的姓名。这将允许他们访问网站(如您的电子邮件或社交媒体帐户),单击”我忘记密码” 链接,然后回答安全问题以获得对您帐户的控制权.被黑客攻击的结果可能包括尴尬(有人可能查看或分享您的个人电子邮件或图片)导致经济损失(成人可能会丢失他们的信用卡号或银行帐户信息)。

因此,事实证明,选择好的安全问题和答案与选择一个好的密码一样重要。如果有人能够轻松找出您的安全问题的所有答案,那么强密码对您没有多大好处,但许多人可能不会考虑这些。他们可能会选择一些他们知道会更容易记住的东西,或者他们可能不知道在线有多少关于他们的信息。在这个项目中,您将调查人们,以了解他们是否认为有关他们的一些常见安全问题的答案可以在线公开获得,然后尝试自己找到答案。你认为人们会对结果感到惊讶吗?

术语和概念

 

    • 身份验证

 

    • 安全问题

 

    • 被黑

 

    • 白帽子
    • 黑帽子

 

 

问题

 

 

    • 您是否使用任何使用安全问题的网站对您的帐户进行身份验证?如果是这样,有什么问题?你认为有人猜测或查找你问题的答案有多难?
    • 您在网上发布了哪些类型的信息(例如,社交媒体资料)?您对此信息有多少控制权以及谁可以看到它?
    • 您是否有直接控制在线的任何关于您的信息?例如,您的名字是出现在学校或体育团队网站上,还是出现在新闻文章中?
    • 其他人可以在线获得哪些类型的信息?例如,成年人可能拥有孩子不会拥有的公共文件或政府记录,例如结婚证或房屋契约。
    • 您认为人们了解在线公开有多少信息吗?

 

 

参考书目

本文概述了安全问题:

 

 

 

 

Google的这项研究报告了安全问题的有效性(称为”个人知识问题” )。即使您不理解整个报告,如果您阅读摘要和第1和第2部分将会有所帮助。

 

 

此报告是关于青少年使用社交媒体的非常详细的调查。第2部分讨论青少年在线发布的信息类型以及他们使用的隐私设置。

 

 

材料和设备

 

 

  • 互联网接入
  • 学习志愿者(至少10名)。请参阅此页,了解涉及调查的项目的样本大小和误差范围.

实验程序

与人类测试科目合作

 

在设计涉及人类受试者的实验时需要特别注意。经常与英特尔国际科学与工程博览会(ISEF)有关的展览会要求每个参与者都有一份知情同意书(许可表)质疑。参考您正在进入的科学博览会的规则和条例,在进行实验或调查之前。请参阅科学伙伴文件涉及人类受试者的项目科学审查委员会了解其他重要要求。如果你正在和未成年人一起工作,你必须事先获得孩子们的许可父母或监护人(以及教师,如果你正在进行测试在学校)确保孩子们可以参加科学博览会项目。以下是获取许可的建议指南与未成年人合作:

  1. 写下您的科学展览项目的清晰描述,您正在学习的内容,以及你希望学到什么。包括如何测试孩子。包括一个段落在那里你得到父母或监护人和/或教师的签名。
  2. 为您将要测量的每个孩子打印出所需数量的副本。
  3. 将许可单传递给孩子们或孩子们的老师给父母。您必须获得所有孩子的许可才能获得能够将它们用作测试对象。<​​/li>

 

 

网络安全项目警告 

网络安全项目可能很有趣,但如果您不小心,它们也会让您陷入困境。在进行网络安全项目时,请确保遵循这些规则:

 

 

    • 未经个人(或拥有计算机的人)的同意,不得攻击任何个人,计算机,系统或网络。例如,除非您先获得他们的许可,否则不要试图猜测某人的电子邮件密码并登录他们的帐户,或者在未经网站所有者许可的情况下尝试入侵网站。
    • 即使您同意进行攻击,攻击也应仅用于学习目的,您应该帮助个人或组织解决您发现的任何问题(这称为”白帽” 黑客行为)。例如,如果您能够猜出某人的密码,您应该告诉他们他们需要选择一个更强的密码(并帮助他们学习如何)。不要阅读他们的电子邮件,更改他们的任何帐户设置,查看私人信息或图片等文件,或告诉其他人他们的密码.
    • 如果您的项目涉及人类受试者,即使您已经同意,您仍可能需要获得您的科学博览会或机构审查委员会的批准(类似于心理学或医学实验规则)。看到此页面了解更多信息。
    • 不要伪装成在线的其他人,公司或其他组织。这包括伪装成社交媒体网站上的其他人,设置虚拟网站,使其看起来像信誉良好的公司的真实网站,或发送”网络钓鱼” 或其他设计看起来像是由其他人发送的电子邮件.(一项对照实验,只有研究参与者才能访问此类网站或电子邮件的示例。)
    • 不要使用非法获取的数据(例如,从公司员工数据库中窃取的联系信息),即使它被其他人窃取并已在网上发布。

 

  • 即使是经过同意获得的,也不要公开发布敏感的个人信息。例如,如果您的项目涉及访问人们的联系信息(合法),请不要在科学展览会的”结果” 部分发布某人的姓名和地址。完成项目后,您应该销毁任何此类信息(通过粉碎纸张或删除文件)。
  • 请勿在连接到互联网的计算机上安装或运行任何恶意软件(病毒,恶意软件,间谍软件,特洛伊木马等)。该软件很容易传播到其他计算机,并失去控制.

如果您对项目有任何疑问或疑问,请在开始之前咨询您的老师或科学博览会管理员。

 

 

    1. 为您的项目收集志愿者并征得他们的同意参加网络安全研究。您的学校或科学展览会可能有特定的规则,您需要遵循以获得人体受试者实验的同意(参见程序开始时的警告)。如果没有,您需要使用这些指南设计自己的同意书。如果您不确定如何操作,请向您的老师寻求帮助。
        1. 您的表单应说明您将尝试使用公开有关在线人员的信息查找常见网站安全问题的答案。您将试图侵入他们的任何私人在线帐户(电子邮件,社交媒体等)。
        2. 您将要求参与者确认您找到的答案是否正确。如果他们不舒服,他们可以选择不回答。
        3. 您不会收集或查找任何当前的联系信息(如电话号码或家庭住址),也不会提供可能泄露其真实姓名的信息(如电子邮件地址).
        4. 数据将以匿名格式存储。参与者的真实姓名不会与您在网上找到的任何信息相关联,也不会与他们是否希望获得这些信息的问题的答案相关联。
        5. 即使它是匿名的,您在每个人上收集的数据也会在项目完成后销毁.聚合数据(研究中所有参与者的总数)将被保留。

       

 

    1. 创建参与者姓名和匿名ID号的主列表。完成数据收集后,你将销毁这张纸。
    2. 创建或查找10个安全问题的列表。
        1. 问题应该是人们在正常谈话中通常会毫不犹豫地揭示的事情。请询问联系人,财务或其他机密信息(例如,不要询问信用卡号,社会安全号码,当前电话号码,家庭住址或电子邮件地址)。
        2. 如果您需要创意,请进行网络搜索或在您经常使用的某些网站上查询问题。
        3. 请注意,根据您是否为您的学习招募了孩子,成人或两者,问题可能需要有所不同。例如,诸如”你在哪里结婚?” 之类的问题。或者”你的第一辆车的型号是什么?” 可能只适用于成年人。

       

 

  1. 设计一个如表1所示的调查表。您可以编写或查找自己的安全问题;您不需要使用表中的示例。
      1. 重要提示:请记住,您应该在调查表上写下参与者的姓名。只在表格上写下匿名身份证号码。

     

 

 

 

 

 

参与者ID号:
安全问题 回答你在网上找到 来源 志愿者是否认为这个答案是可用的线上? (是/否)答案是答案你找到了正确?
你母亲的婚前姓名是什么?        
你父亲出生在哪个城市?        
你的第一个宠物的名字是什么?        
你的中学吉祥物是什么?        
你最喜欢的乐队是什么?        
       

表1。调查表格示例。

 

    1. 尝试在线查找每个参与者的每个问题的正确答案。
        1. 在搜索问题的答案时,您需要使用参与者的真实姓名。使用您的主名单和ID号在您需要时查找真实姓名,但请记住不要在调查表上写下真实姓名。
        2. 您可以通过多种方式查找答案:
          1. 通过Google搜索,浏览社交媒体资料,家庭树网站或有关此人的新闻文章。
          2. 查看公共政府记录,如出生证和结婚证。
          3. 确保您为每个人尝试相同的方法,因此您的方法是一致且可重复的(您可以在科学博览会项目的过程中对其进行描述)。
          4. 避免”仅谷歌” 的诱惑,并查看前几个结果。一些信息来源,如个人社交媒体帖子或政府记录,在搜索结果中可能看起来不是很高。您可能需要访问特定网站(如家庭树网站或县政府网站)并在那里搜索.
          5. 对于某些问题,不同来源可能比其他来源更好。

           

       

        1. 重要提示:您的目标是找出有关在线人员公开的信息。如果您是Facebook等社交媒体网站上的某个人的朋友,您可以访问额外的(非公开)信息。在开始搜索之前,您应该退出所有社交媒体网站,或在隐私浏览模式下使用Web浏览器。这将确保您只看到公开结果。
        2. 在调查表上为每位参与者记录您找到的答案和来源(如果可能,请复制链接,或写下网站名称)。如果找不到答案,请指明您找不到答案。

       

 

  1. 采访每位志愿者。
    1. 对于每个问题,请询问志愿者他们是否认为有关他们的信息是在线公开的(意思是,任何人 – 甚至是现实生活中不认识的人,也不是社交媒体上的朋友 – 查找该信息? )。
    2. 告知志愿者您是否找到了答案。如果你找到答案,告诉志愿者你找到了什么(以及你找到了什么),并询问信息是否正确(是/否答案是否足够;如果答案是你,他们不必为你提供正确的答案发现是错的)。
    3. 在您的调查表上记录该志愿者的所有结果。
    4. 如果志愿者似乎对在线公开提供某些信息感到惊讶或不安,请讨论他们可以采取的将信息设为私密的步骤(例如,删除社交媒体帖子或将个人资料设为私人信息)。这类似于网络安全专业人员在现实世界中所扮演的角色。他们没有使用他们为犯罪目的发现的信息(称为”黑帽” 黑客),而是报告他们发现的任何漏洞,并教导客户如何管理自己的在线隐私和安全(”白帽” 黑客攻击)。
  2. 完成所有访谈后,请将名称与ID号匹配的主列表粉碎。这将确保您的数据对于项目的其余部分保持匿名。
  3. 分析您的数据。
      1. 每个问题:
          1. 统计所有志愿者的结果并填写表2,如表2所示。该表将志愿者分为四类:
              • 认为答案的人会在线,答案 在线。
              • 认为答案的人会在线,答案不是在线。
              • 认为答案的人会在线,答案 在线。
              • 认为答案的人会在线,答案不是在线。

             

         

        1. 制作四个类别的条形图。您认为哪四个群体面临最大的安全风险?
        2. 计算您能够在线找到正确答案的志愿者百分比.
      2. 将您的问题从安全性最低(找到正确答案的百分比最高)排列到最安全(最低百分比)并制作结果条形图.
      3. 哪个问题在期望与现实之间存在最大差异?是否存在大多数人认为信息无法在线获取的问题,但实际上是,反之亦然?
      4. 假设每位参与者都拥有一个使用三个最不安全问题的网站的帐户,并尝试获得正确的答案。如果你是一名黑客,你可以妥协他们的帐户的百分比(意味着,有多少人可以让所有三个问题都正确)?
      5. 重复步骤d,找出三个最安全的问题。

     

 

 

 

问题: 信息实际可用
没有
思想信息可用    
没有    

表2。示例数据表,用于计算每个问题的结果。

 

  1. 从结果中得出结论。
    1. 您认为安全问题是恢复在线帐户的安全方式吗?
    2. 您认为网站应该继续使用它们,还是转用其他方法进行帐户恢复?
    3. 您认为用户选择安全问题和答案的方式会有所不同吗?
  2. 重要提示:网络安全项目警告中所述,您必须小心如何处理此项目的数据,以保护您的志愿者的隐私。
      1. 确保撕碎了连接姓名和身份证号码的纸张。这将确保特定安全问题的答案不能与一个人相关联。
      2. 请勿在科学展览会上张贴表1的副本。即使它没有列出真实姓名,人们也可以根据他们对问题的回答来猜测志愿者的身份(例如,你的朋友可能能够根据自己喜欢的歌曲猜出对方的身份).
      3. 可以在显示板上发布表2和步骤8中描述的条形图,因为这些只显示汇总数据(统计所有志愿者)而不是个人身份信息.
      4. 如果您完成了项目,并且确定已经完成了对数据的分析,那么您应该粉碎表1的所有副本。查看变体部分在您执行此操作之前,如果您想对数据进行任何其他分析。

     

 

如果你喜欢这个项目,你可能会喜欢探索这些相关的职业:

信息安全分析师

您是否见过有关公司或政府机构如何被”黑客入侵” 以及人们的个人信息(如姓名,地址或信用卡号码)被盗的新闻?信息安全分析师的工作是防止这种情况发生。组织雇用信息安全分析师来分析针对其计算机系统的可能威胁,其中包括试图窃取数据的恶意黑客以及无意中忘记退出计算机的粗心员工。然后,他们制定计划,以防止这些威胁,并在它们出现时处理它们。对于那些想要跟上不断变化的计算机和互联网世界的人来说,这是一个激动人心的职业。了解详情

 

渗透测试仪

在电影和媒体中,计算机黑客通常被描绘成窃取金钱或重要信息的坏人 – 罪犯。如果你能成为好的黑客怎么办?有人的工作是找到计算机系统的安全漏洞;但是,在罪犯找到问题之前,你可以帮助修复问题,而不是利用它们谋取私利。这就是渗透测试人员 – 也称为”白帽子” 或”道德” 黑客。公司付钱给故意试图侵入他们的系统以暴露漏洞。这有点像支付某人试图闯入你的房子,这样你可以修理一个破锁或松动的窗户,如果他们找到他们的方式。如果你一直梦想成为一名黑客,但又不想违法,那么这可能就是你的职业!了解更多

 

密码学家

密码学家,也称为密码学家和密码分析师,开发加密算法,使我们的现代在线交易,如电子邮件和信用卡购买,免受窥探。即使信息或信息被盗,只要它被加密,偷走它的人就无法阅读!密码学家还可以测试和打破这些算法,检查它们的弱点和漏洞。他们甚至分析和破译恐怖分子和外国政府使用的代码,为美国军方和情报机构提供有价值的信息。了解详情

 

安全事故响应者

安全事件响应者,也称为入侵分析师或事件响应工程师,就像网络世界的”消防员” 。公司可以采取措施来保护他们的计算机网络和系统,但有时候预防还不够,网络攻击仍然会发生。客户信用卡信息等敏感数据可能被盗,整个网站可能被删除或更改,或者个人联系信息可能被泄露。发生这种情况时,事件响应者必须迅速采取行动以找到攻击源并将其关闭。他们还将分析攻击的发生方式,确定损害的范围,以及如何防止再次发生。了解详情

变体形式

 

    • 您可以研究安全问题的许多其他方面。有关一些想法,请阅读Google在参考书目中的出版物。这里仅仅是少数:
        • 人们会记住他们自己问题的答案吗?让参与者给你答案,然后让他们在一天,一周和一个月之后回忆答案。
        • 即使没有在线搜索,猜测问题的正确答案有多容易?例如,您可以通过选择一个您知道的年龄段受欢迎的节目来正确猜出某人最喜欢的电视节目吗?您的志愿者是否对某些问题有相同的答案?许多网站会给你多次尝试输入一个正确的答案,所以如果你得到三个猜测,猜测他们的答案要容易多少?
        • 朋友,家人或其他熟人如何轻松回答某人的安全问题而无需在线查看?这是否会造成漏洞(例如,对心怀不满的同事或以前的朋友)?
        • 人们多久会对安全问题给出假答案?这样做会使答案更容易还是更难记住?这会使他们或多或少安全吗?

       

 

    • 不要让参与者回答是/否,他们是否认为信息可以在线获取,而是要求他们评估信息在0-5范围内可用的可能性;或者,让他们将您的问题列表从最简单到最难回答。他们的期望与您的结果相符的程度如何?
    • 有些网站已从安全问题转向其他帐户恢复方法。例如,他们可能会通过短信或电子邮件向您发送一次性恢复代码,或者让您识别社交网络上的几个真实朋友,如果您的帐户被黑客攻击,他们可以帮助确认您的身份。这些方法相对于安全问题有多安全?例如,如果丢失手机,它们仍能正常工作吗?