Девичья фамилия вашей матери? Имя первого учителя? Кличка первого домашнего животного? Город рождения отца? Если эти вопросы вам знакомы, скорее всего, это потому, что вы неоднократно отвечали на них на различных веб-сервисах.
Такие вопросы задумывались для создания дополнительного уровня безопасности при идентификации пользователей Интернета. Например, с их помощью можно зайти в сервис при забытом пароле. Однако, согласно новому исследованию Google, они не такие безопасные, как принято думать.
Исследователи Google проанализировали сотни миллионов подобных вопросов и ответов пользователей Google, которые с их помощью входили в свою учетную запись, забыв пароль. Вывод исследователей:
Секретные вопросы и не безопасны, и недостаточно надежны для использования в качестве самостоятельного механизма восстановления.
Проблема таких вопросов в том, что они либо слишком просты для запоминания (и следовательно, для угадывания), либо слишком сложны (и тогда их легко забыть). Золотой середины практически нет.
Например, почти 20% англоязычных пользователей Google в качестве любимого блюда указали пиццу. В странах, где большинство населения живет в нескольких крупных городах (например Южная Корея), несложно угадать город рождения пользователя или, скажем, его отца. Если злоумышленникам легко угадать секретный вопрос, пусть и с нескольких попыток, то очевидно, что о безопасности говорить не приходится.
Если же пытаться сделать вопросы слишком сложными, возникает противоположная проблема: целых 40% англоязычных вообще не могут вспомнить ответы на заготовленные ими же секретные вопросы. Например, всего 9% пользователей могут правильно ввести свой номер программы лояльности авиакомпании.
Частичным решением проблемы, по мнению Google, является сочетание двух или более относительно простых вопросов, что делают некоторые сервисы. В этом случае хакерам будет сложнее их угадать, хотя возрастает и вероятность, что их забудет пользователей. Но еще правильнее использовать секретные вопросы только как дополнительное средство, когда исчерпаны все прочие способы восстановления доступа (второй электронный адрес, СМС, двухфакторная аутентификация и т.д.).
Взято с telekomza.ru
Вопросы безопасности не такие безопасные, как считалось: 3 комментария