Вопросы безопасности — плохая идея, и вот почему

С тех пор как у нас появились пароли и аккаунты, всегда были хакеры, пытающиеся заполучить их. Более того, люди также забывали свои пароли. Чтобы восстановить их, поставщик аккаунта часто реализует серию вопросов, на которые вы предоставляете свои “секретные ответы”. Эта система работала хорошо на протяжении многих лет, но она полна способов упростить работу хакерам. Хотя ответы и являются секретными, кажется, что вы на самом деле жертвуете своей безопасностью в надежде, что однажды эта жертва поможет вам восстановить ваш пароль.

Что делает вопросы безопасности ужасными для безопасности

21 мая 2015 года Google опубликовал некоторые исследования относительно всей схемы вопросов безопасности. Очевидно, что “как звали вашего первого питомца?” может быть самой слабой ссылкой в вашей безопасности, и это может привести к тому, что ваш аккаунт окажется у хакеров на серебряном подносе. Хотя вы можете создавать пароли, которые невозможно угадать, вопросы безопасности для восстановления разработаны таким образом, что вы должны легко на них отвечать. Это хорошо работает, когда вы используете неясные ответы, которые никто другой не может угадать, но ужасно, если ваш питомец (например) имеет очень распространенное имя, такое как “Макс” или “Спот”. Если вы назвали свою собаку “Улисс” или “Перуджия”, то у вас может быть шанс, хотя и не слишком многообещающий.

Вы также можете выбрать вариант B, который заключается в том, чтобы солгать о ответе на ваш вопрос (т.е. ответить “Оффрам Клигманштейн III”, когда вас спросят, какова была девичья фамилия вашей матери). Проблема в этом заключается в том, что у вас появляется еще одна вещь, которую нужно запомнить. Вспомнить ответы, о которых вы солгали, так же трудно, как вспомнить пароль, который вы забыли в первую очередь. Это не решение, а лишь дополнительная нагрузка.

Что должно заменить эти вопросы?

В дополнение к проблемам безопасности, которые вводят вопросы, они просто добавляют путаницу для тех, кто не может вспомнить город, в котором они родились, или имена своих первых питомцев (это действительно происходит). Люди, которые хорошо вас знают, также могут легко получить доступ к вашим аккаунтам с помощью этого метода. Надеюсь, мы уже пришли к выводу, что что-то должно заменить метод “секретного ответа”. К счастью, есть много хороших кандидатов на замену, одним из лучших является двухфакторная аутентификация.

Метод “секретного ответа” был изобретен до того, как у людей обычно были мобильные телефоны, которые могли открывать SMS-сообщения. На данный момент в истории практически у каждого, кто имеет доступ к Интернету, есть мобильный телефон. Из 7 миллиардов людей примерно 6,8 миллиарда телефонов. Google принял новый метод аутентификации, который включает отправку одноразового пароля через SMS для восстановления. Для тех, у кого нет телефонов, они могут использовать резервный email либо доверенного человека, либо тот, который они используют сами для восстановления. Этот метод делает очень трудным “угадать” путь к аккаунту без телефона пользователя.

Используя двухфакторную аутентификацию, вы решаете две вещи одновременно:

• Вы минимизируете риск того, что человек не вспомнит свой “ответ”, поскольку уникальный SMS-код передается пользователю по запросу, и
• Вы создаете метод восстановления, который практически невозможно сломать, поскольку хакеру нужно иметь доступ к физическому объекту, который принадлежит пользователю.

Можете ли вы придумать что-то еще, что могло бы заменить метод секретного ответа? Оставьте свои мысли в комментариях ниже!