С тех пор, как у нас появились пароли и учетные записи, всегда находились хакеры, пытающиеся заполучить их. Что еще более важно, люди также забывают свои пароли. Чтобы восстановить их, провайдер учетной записи часто задает ряд вопросов, на которые вы даете свои «секретные ответы». Эта система прекрасно работала на протяжении многих лет, но в ней полно способов облегчить работу хакеров. Хотя ответы секретны,,,,kk по сути, похоже, что вы на самом деле жертвуете своей безопасностью в надежде, что однажды эта жертва поможет вам восстановить свой пароль.
Что делает контрольные вопросы ужасными в службе безопасности
21 мая 2015 г. Google опубликовал некоторые исследования относительно всей схемы контрольных вопросов. Видимо, «как звали вашего первого питомца?» может быть самым слабым звеном в вашей безопасности и может принести хакерам вашу учетную запись на серебряном блюде. Хотя вы можете создавать пароли, которые невозможно угадать, контрольные вопросы для восстановления разработаны таким образом, чтобы вы могли легко на них ответить. Это хорошо работает, когда вы используете неясные ответы, о которых никто другой не может догадаться, но ужасно, если у вашего питомца (например) очень распространенное имя, такое как «Макс» или «Пятно». Если вы назвали свою собаку «Улисс» или «Перуджа», у вас может быть шанс, хотя и не столь многообещающий.
Вы также можете выбрать вариант Б, то есть солгатьотносительно ответа на ваш вопрос (т. е. ответить «Оффрам Клингманштейн III», когда его спросят, какова девичья фамилия вашей матери). Проблема в том, что в итоге вы получаете еще одну вещь, которую вам необходимо запомнить. Вспомнить ответы, о которых вы солгали, так же сложно, как и вспомнить пароль, который вы забыли. Это не решение, а дополнительное бремя.
Что должно заменить эти вопросы?
Помимо проблем с безопасностью, которые создают вопросы, они только усугубляют путаницу для тех, кто не может вспомнить город, в котором родился, или имя своего первого питомца (такое случается). Люди, которые вас хорошо знают, также могут легко получить доступ к вашим учетным записям с помощью этого метода. Надеюсь, мы уже пришли к выводу, что метод «секретного ответа» нужно чем-то заменить. К счастью, есть много хороших претендентов на замену, одним из лучших является двухфакторная аутентификация.
Метод «секретного ответа» был изобретен еще до того, как у людей появились мобильные телефоны, способные открывать SMS-сообщения. На данном этапе истории практически каждый, кто имеет доступ к Интернету, имеет сотовый телефон. Из 7 миллиардов человек имеется примерно 6,8 миллиардов телефонов. Google внедрил новый метод аутентификации, который предполагает отправку одноразового пароля через SMS для восстановления. Те, у кого нет телефонов, могут использовать резервный адрес электронной почты доверенного лица или тот, который они используют сами для восстановления. При таком методе очень сложно «угадать» путь к аккаунту без телефона пользователя.
Используя двухфакторную аутентификацию, вы решаете две задачи одновременно:
- Вы минимизируете риск того, что человек не запомнит свой «ответ», поскольку уникальный СМС-код передается пользователю по запросу, и
- Вы создаете метод восстановления, который практически невозможно взломать, поскольку хакеру потребуется доступ к физическому объекту, принадлежащему пользователю.
Можете ли вы придумать что-нибудь еще, чтобы заменить метод секретного ответа? Оставьте свое мнение в комментариях ниже!
