Секретный вопрос - удар по безопасности
Для меня остается загадкой, почему считается, что “секретный вопрос” на интернет-сайтах - хорошая идея.
Мы подписываемся на онлайн-сервис, подбираем сложный вопрос (порой сложный для запоминания), а затем оставляем подарок в качестве ответа на “секретный вопрос”.Двадцать лет назад был всего лишь один секретный вопрос “Какая девичья фамилия вашей метери?” Сегодня этот список расширился до нескольких вопросов: “На какой улице вы выросли?”, “Как фамилия вашего любимого учителя?”, “Какой ваш любимый цвет?”.
Вам часто надо выбрать.Идея “секретного вопроса” - дать пользователям возможность восстановить.
Если вы забудете пароль, то “секретный вопрос” - способ подтвердить, что вы это вы.
Это хорошая идея с точки зрения пользователей, - пользователи реже забывают имена своих питомцев, нежели случайные пароли, - но с точки зрения безопасности это ужасно.Легко взломатьОтвет на “секретный вопрос” намного легче угадать, чем “хороший” пароль.
Информация “секретного вопроса” доступнее для окружающих.
Спорю, что адрес моего рождения присутствует в какой-нибудь базе данных.
И хуже всего то, что все используют одинаковые типы “секретных вопросов”.Итог следующий: один протокол (пароли) подменяется менее защищенным протоколом (”секретные вопросы”), тем самым страдает безопасность всей системы.
Я уверен, что разработчики системы думали, что “секретные вопросы” будут использоваться крайне редко, только когда пользователь забудет свой пароль, но специалисты по безопасности хорошо понимают, что плохие парни будут использовать для взлома наименее защищенный протокол из имеющихся - “секретные вопросы”.Что же делать? На месте пользователя я обычно печатаю абсолютно случайный ответ на “секретный вопрос”.
Я случайно ударяю по клавишам и сразу же забываю ответ, тем самым нападающие имеют очень мало шансов догадаться до ответа на “секретный вопрос”, но это же касается и меня, если я забуду пароль.
Однажды такое случилось, и я был вынужден звонить в компанию для того, чтобы восстановить пароль.Если я забуду пароль, то очень сложно будет получить доступ к моей учетной записи.