Питання безпеки є небезпечними, як захистити свої облікові записи

Ми всі знаємо, що ми повинні створювати безпечні паролі. Але за весь час, який ми турбуємо про свої паролі, існує бекдор, про який ми ніколи не думаємо. Питання безпеки часто легко вгадати і часто можуть обійти паролі.

На щастя, багато служб усвідомлюють, що питання безпеки є дуже небезпечними і підкреслюють їх. Google і Microsoft більше не пропонують питання безпеки для своїх облікових записів - замість цього можна відновити обліковий запис, використовуючи відповідний номер телефону.

Паллін "Hack"

Це не просто теоретична проблема. Yahoo! обліковий запис електронної пошти був відомий "зламаний" напередодні виборів 2008 року. "Хакер" просто скористався підказкою на скидання пароля і відповів на своє питання безпеки. Питання полягало в тому, де вона познайомилася зі своєю дружиною, і відповідь - Wasilla High - була доступна за допомогою швидкого пошуку Google.

Проблема з питаннями безпеки

Це не просто проблема для Сари Пейлін. Коли ми налаштовуємо облікові записи - від банківських рахунків до облікових записів електронної пошти - нас часто просять налаштувати питання безпеки. У більшості випадків нам буде надано список запропонованих питань, таких як "Куди ви пішли в середню школу?" І "Яке дівоче прізвище вашої матері?" Деякі веб-сайти дозволяють створювати власне питання, але багато хто вибирати зі списку запропонованих питань. Деякі веб-сайти змушують вас налаштовувати кілька запитань і відповідей на питання безпеки, а це означає, що ви не можете просто вибрати одну відповідь, яку легко запам'ятати - вам потрібно вибрати кілька різних запитань і запам'ятати всі відповіді.

Справжня проблема з питаннями безпеки полягає в тому, що відповіді є настільки очевидними. Відповіді на багато питань безпеки, починаючи з розділу «Який ваш день народження?» До «Куди ви пішли у середню школу?», Є знаннями громадськості, якщо хтось захоче шукати. Вони навіть можуть шукати їх у Google. Навіть якщо відповіді вже не є загальнодоступними, більшість звичайних людей поділятимуться детальною інформацією, наприклад, де вони зустрічалися з дружиною та де вони ходили до школи у звичайній розмові.

Основи безпеки

Якщо ви ніколи не скидали пароль облікового запису, вам ніколи не доведеться мати справу зі своїми власними питаннями безпеки і можете забути про них. Часто ви можете натиснути посилання, за яким ви забули свій пароль, і, якщо ви правильно відповісте на питання безпеки, вам буде надано доступ до цього облікового запису. Таким чином, питання безпеки дозволяють обійти пароль. Ваш обліковий запис більше не є таким безпечним, як ваш пароль, він є настільки безпечним, як найбільш очевидне запитання безпеки.

Відповіді на питання безпеки також легше здогадатися. Наприклад, якщо виникає запитання: «Яким було ім'я вашого першого вихованця?», Дуже легко здогадатися про деякі поширені назви тварин. Неважливо, чи є ваш пароль незрозумілим, як "3 & 40 $ d #% $ t # kteyt". Якщо ім'я вашого першого вихованця було "Fido", і ви точно відповідаєте на питання безпеки, відповідь буде легко вгадати.

Не кожна служба скине ваш обліковий запис і надасть доступ комусь іншому лише тому, що вони знають відповідь на ваше безпечне запитання, але деякі з них. Інші послуги використовують питання безпеки як частину процесу аутентифікації, що потребує іншої особистої інформації.

Вибір та відповідь на питання безпеки

Майте це на увазі, вибираючи питання та відповіді на питання безпеки. Вибирайте те, що іншим людям важко дізнатися або здогадатися, а не щось подібне до того, де ви пішли в школу.

Друга альтернатива - відмовитися від питань безпеки. Наприклад, якщо ви маєте можливість написати власне питання безпеки, ви можете ввести запитання типу "Що таке відповідь?" Або посилатися на жарт, який знаєте ви. Потім ви можете надати відповідь так само безпечно, як і питання - можливо, ваша пара відповідей / запитавань - це щось на кшталт “Яка відповідь?” “45D% po # Yih8d0Y $ fgp (i34t”. Тепер у вас є лише другий пароль для вашого обліковий запис - запишіть його в безпечному місці або збережіть його в менеджері паролів, наприклад, LastPass або KeePass, щоб отримати доступ до нього у випадку, якщо ви коли-небудь знадобиться..

Майте на увазі, що вам не потрібно точно відповідати на питання. Наприклад, якщо виникає запитання: «Де ви отримали свій перший поцілунок?», А ви живете в Нью-Йорку ціле життя, ви, ймовірно, не хочете входити до Нью-Йорка - це дійсно очевидний відповідь. Можливо, ваша відповідь - "У кратері на Місяці" або інший нерозумний відгук, який ви пам'ятаєте, але інші люди матимуть більше труднощів. Звичайно, навіть ця відповідь більш очевидна, ніж, здавалося б, випадкова рядок. Можливо, ваша відповідь на запитання «Де ви отримали свій перший поцілунок?» 9je7% 5yry835 # 9reou & hf94 @ 7gt5. Навіть якщо ви змушені користуватися певним питанням, ви можете ввести будь-яку відповідь, яка вам подобається, до тих пір, поки ви її пам'ятаєте. Звичайно, ви захочете зберегти цю відповідь безпечною у випадку, якщо ви коли-небудь потребуватимете її в майбутньому.

Питання безпеки небезпечні. Але, навіть якщо ви змушені їх використовувати або змушені використовувати небезпечне питання, ви ніколи не змушені дати точну відповідь. Ви можете ввести будь-яку відповідь, яка вам подобається, до тих пір, поки ви зможете її згадати. Що б ви не робили, переконайтеся, що ви не відкриваєте бекдор, за допомогою якого зловмисник може обійти ваш пароль.

Зображення: Пол Келлер на Flickr