חוקרים של אוניברסיטת קרנגי-מלון ומיקרוסופט ביצעו מחקר שמטרתו היתה לבדוק עד כמה מאובטח מנגנון שיחזור הסיסמא המבוסס על שאלה ותשובה של אתרי הדואל הגדולים (גימייל, הוטמייל, יאהו וAOL). המחקר בדק עד כמה קשה לאנשים שלא אמורים להיות מורשים לקרוא את הדואל שלך להשתמש במנגנון שחזור הסיסמא בכדי להכנס לחשבון שלך. התוצאות היו כדלקמן:
- אחרי חצי שנה 20% מהמשתתפים שכחו מה התשובה לשאלה שהם עצמם בחרו
- ב17% מהמקרים מכרים הצליחו לנחש את התשובה הנכונה
- ב13% מהמקרים אדם אקראי הצליח לנחש את התשובה תוך 5 נסיונות
- שאלות השיחזור שאנשים בוחרים בעצמם לא בהכרח קשות יותר לפיצוח מהשאלות המוכנות מראש
לפי התוצאות של המחקר לגימייל יש את השאלות המאובטחות ביותר, אבל לפחות שתיים מהשאלות שמופיעות במחקר הן כאלו שאין להן משמעות רבה לישראלי המצוי.
סביר להניח שהחולשה במנגנון שיחזור הסיסמא היא זה שדרכה נפרצה תיבת הדואל האישית של יולי תמיר ביאהו. (הבעיתיות בכך שאדם, רק בגלל שהוא שר לשעבר ומקושר עם אנשים ביהאו, יכול להפוך תיבות דואל שאין לו גישה אליהן לשלו היא נושא מענין בפני עצמו).
לכאורה הפיתרון לבעיה הוא פשוט – אדם צריך להחזיק תיבת דואר משנית בשירות דואל אחר, וכאשר הוא שוכח את הסיסמא הוא יכול פשוט לבקש לאתחל אותה ואז הסיסמא החדשה תישלח לתיבה המשנית. הפריצה למסמכים של טוויטר מוכיחה שאפילו זה אינו פתרון בטוח מספיק, אבל על הפריצה יבוא מאמר אחר.
בזמנו זו הייתה שיטה לגנוב מספרי איסיקיו. היית מוצא מספר יפה שיש לו יוזר בהוטמייל ומנסה לראות אם התיבה פעילה. היות והוטמייל סגרו תיבות שלא השתמשו בהן, יכולת לשים יד על תיבה ולשלוח אליה שיחזור סיסמא.