Wszyscy wiemy, że powinniśmy tworzyć bezpieczne hasła. Ale przez cały czas niepokoimy się o nasze hasła, istnieje backdoor, o którym nigdy nie myślimy. Pytania bezpieczeństwa są często łatwe do odgadnięcia i często mogą ominąć hasła.
Na szczęście wiele serwisów zdaje sobie sprawę, że pytania bezpieczeństwa są bardzo niepewne i powodują je. Google i Microsoft już nie oferują pytań bezpieczeństwa dla swoich kont - zamiast tego możesz odzyskać konto przy użyciu powiązanego numeru telefonu.
To nie jest tylko problem teoretyczny. Sarah Palin's Yahoo! konto e-mail zostało sławne "zhackowane" w okresie poprzedzającym wybory w 2008 roku. "Haker" po prostu skorzystał z monitu o reset hasła i odpowiedział na pytanie bezpieczeństwa. Pytanie, gdzie poznała współmałżonka, a odpowiedź - Wasilla High - była dostępna dzięki szybkiemu wyszukiwaniu w Google.
To nie jest tylko problem dla Sarah Palin. Kiedy zakładamy konta - od rachunków bankowych do kont e-mail - często jesteśmy proszeni o skonfigurowanie pytania bezpieczeństwa. W większości przypadków otrzymasz listę sugerowanych pytań typu "Gdzie chodziłeś do szkoły?" I "Jakie jest nazwisko panieńskie Twojej matki?" Niektóre strony internetowe pozwalają ci stworzyć własne pytanie, ale wiele do wyboru z listy sugerowanych pytań. Niektóre witryny zmuszają Cię do skonfigurowania wielu pytań i odpowiedzi związanych z bezpieczeństwem, co oznacza, że nie możesz wybrać jednej odpowiedzi, która jest łatwa do zapamiętania - musisz wybrać kilka różnych pytań i zapamiętać wszystkie odpowiedzi.
Prawdziwym problemem z pytaniami o bezpieczeństwo jest to, że odpowiedzi są tak oczywiste. Odpowiedzi na wiele pytań dotyczących bezpieczeństwa, od "Jakie są twoje urodziny?" Do "Gdzie chodziłeś do liceum?" To wiedza publiczna, jeśli ktoś ma na to ochotę. Mogą nawet być w stanie wyszukać je w Google. Nawet jeśli odpowiedzi nie są już dostępne publicznie, większość normalnych osób podzieli się szczegółami, takimi jak miejsce spotkania z małżonkiem i miejsce, w którym poszli do szkoły w normalnej rozmowie.
Jeśli nigdy nie zresetowałeś hasła do konta, możesz nigdy nie mieć do czynienia z własnymi pytaniami bezpieczeństwa i możesz o nich zapomnieć. Często możesz kliknąć link z informacją, że nie pamiętasz hasła, a jeśli odpowiesz poprawnie na pytanie ochronne, uzyskasz dostęp do tego konta. W ten sposób pytania bezpieczeństwa pozwalają ominąć twoje hasło. Twoje konto nie jest już tak bezpieczne, jak twoje hasło, jest tak bezpieczne, jak najbardziej oczywiste pytanie ochronne.
Odpowiedzi na pytania bezpieczeństwa są również łatwiejsze do odgadnięcia. Na przykład, jeśli pytanie brzmi "Jak nazywała się twoja pierwsza pupila?", Bardzo łatwo jest odgadnąć niektóre popularne imiona zwierząt domowych. Nie ma znaczenia, czy twoje hasło jest tak trudne do odgadnięcia, jak "3 & 40 $ d #% $ t # kteyt". Jeśli imię Twojego pierwszego zwierzaka brzmiało "Fido", a odpowiedź na pytanie bezpieczeństwa brzmi dokładnie, odpowiedź będzie łatwa do odgadnięcia.
Nie każda usługa zresetuje twoje konto i da komuś dostęp tylko dlatego, że zna odpowiedź na twoje pytanie bezpieczeństwa, ale niektórzy to zrobią. Inne usługi wykorzystują pytania bezpieczeństwa w ramach procesu uwierzytelniania, który będzie wymagał innych danych osobowych.
Miej to wszystko na uwadze podczas wybierania pytań i odpowiedzi dotyczących bezpieczeństwa. Wybierz coś, co byłoby trudne dla innych osób, aby dowiedzieć się lub zgadnąć, a nie coś takiego, jak na przykład, gdzie chodziłeś do szkoły.
Drugą alternatywą jest rezygnacja z pytań bezpieczeństwa. Na przykład, jeśli masz szansę napisania własnego pytania bezpieczeństwa, możesz wpisać pytanie typu "Jaka jest odpowiedź?" Lub odwołać się do żartu, który tylko Ty byś znał. Następnie możesz podać odpowiedź tak samo bezpieczną jak pytanie - może twoja para odpowiedzi / pytania brzmi "Jaka jest odpowiedź?" "45D% po # Yih8d0Y $ fgp (i34t". Teraz masz po prostu drugie hasło konto - zapisz je gdzieś bezpiecznie lub przechowuj je w menedżerze haseł, takim jak LastPass lub KeePass, abyś mógł uzyskać do niego dostęp w razie potrzeby - z taką odpowiedzią, masz po prostu drugie hasło.
Pamiętaj, że nie musisz też dokładnie odpowiadać na pytania. Na przykład, jeśli pytanie brzmi "Skąd miałeś swój pierwszy pocałunek?" I mieszkasz w Nowym Jorku przez całe swoje życie, prawdopodobnie nie chcesz wejść do Nowego Jorku - to naprawdę oczywista odpowiedź. Może twoją odpowiedzią jest "In a Crater on the Moon" lub inna głupia odpowiedź, którą będziesz pamiętać, ale inni ludzie będą mieli więcej problemów z odgadywaniem. Oczywiście nawet ta odpowiedź jest bardziej oczywista niż pozornie losowy ciąg znaków. Może twoja odpowiedź na pytanie "Skąd masz swój pierwszy pocałunek?" To 9je7% 5yry835 # 9reou & hf94 @ 7gt5. Nawet jeśli jesteś zmuszony do użycia określonego pytania, możesz dowolnie wybierać dowolną odpowiedź, o ile możesz ją zapamiętać. Oczywiście, będziesz chciał zachować tę odpowiedź w bezpieczny sposób, na wypadek, gdybyś kiedykolwiek potrzebował jej w przyszłości.
Pytania bezpieczeństwa są niepewne. Ale nawet jeśli jesteś zmuszony do ich użycia lub zmuszony do użycia niepewnego pytania, nigdy nie będziesz zmuszony podać dokładnej odpowiedzi. Możesz wpisać dowolną odpowiedź, pod warunkiem, że ją zapamiętasz na później. Cokolwiek robisz, upewnij się, że nie otwierasz backdoora, którego atakujący mógłby użyć do ominięcia twojego hasła.
Image Credit: Paul Keller na Flickr