что такое секретный вопрос в аккаунте
Что такое секретный вопрос в аккаунте
В интернете достаточно просто найти список секретных вопросов, но нелегко найти ХОРОШИЕ секретные вопросы. Я привел примеры хороших, средних и посредственных вопросов. Я также привел сравнение хороших вопросов и разбивку по типам вопросов.
Что определяет степень надежности секретного вопроса? Ниже приведены мои критерии и некоторыми разъяснениями.
Ответ на хороший секретный вопрос:
1. Безопасен: не может быть легко угадан, подобран перебором вариантов или отыскан
Наиболее важная характеристика хорошего секретного вопроса это безопасность. Вопрос не должен подвергать риску защищаемый объект. Хороший секретный вопрос должен иметь ответ который нелегко предположить, разгадать или подобрать и таким образом блокировать несанкционированный доступ к учетной записи.
Хороший секретный вопрос удовлетворять ряду требований и иметь высокую энтропию. В общем виде это значит что число возможных ответов должно быть очень велико и вероятность случайного выбора правильного ответа очень низка. Когда вы придумаете вопрос с высокой энтропией, правильный ответ сможет дать только человек знающий ответ наверняка.
Ответ не должен быть находимым через поиск или исследование (как например девичья фамилия матери, дата рождения, имя или фамилия, номер телефона, номер машины, адрес, кличка питомца). Вопрос должен иметь множество вероятных ответов с низкой возможностью предположения. Ответы также не должны быть известны членам семьи, друзьям и близким, бывшим супругам или второй половине.
Дополнительно можно комбинировать несколько вопросов в одном, тем самым увеличивая количество возможных ответов и уменьшая возможность подбора правильного ответа.
Обратной стороной этого приема является усложнение неизменности правильного ответа.
2. Неизменен: не меняется со временем
Один из самых неудачных примеров это категория любимых вещей: любимое место отдыха, учитель, цвет, книга, фильм, животное, песня, артист и т.д. Список бесконечен и бесполезен для тех из нас кто является человеком. В прошлом году моим любимым местом отдыха была Италия, в это году Кипр. Предпочтения изменяются и в следующий раз когда мне придется отвечать на секретный вопрос, я не смогу вспомнить правильный ответ.
Другой проблемой секретных вопросах о предпочтениях является возможность нахождения ответов в социальных сетях вроде Фейсбука или одноклассников. Вы должны быть предельно осторожны при использовании вопросов подобного типа.
3. Запоминаем
Ответ на хороший секретный вопрос должен быть легко вспоминаем и при этом недоступен остальным. В идеальном случае пользователь должен немедленно знать ответ без поиска по записям или долгих воспоминаний.
Также не стоит использовать вопросы отсылающие к детству:
4. Очевиден или прост
Вопрос должен быть задан таким образом, чтобы ответ был а) очевиден или прост, б) имел четкий формат, в) не имел значения регистр букв ответа.
Очевиден
Вопрос должен требовать однозначного ответа.
Пример плохого секретного вопроса:
Улучшенный вариант:
Производитель вашей первой машины?
Очень часто встречается вопрос «Как зовут вашего питомца?» Какого? Кошки, собаки, попугайчика, хомячка, крысы?
Четкий формат
Формат ответа должен быть ясен. Не спрашивайте «Годовщина вашей свадьбы?» Ответ может быть 1990, Август 1990, Первого августа 1990, 01.08.1990 и т.д. Вместо этого стройте ответ следующим образом: «Какой месяц и год вашей свадьбы (напр. январь 2010)? Предоставляя пример ответа в вопросе вы поймете как нужно ответить.
Пример плохого секретного вопроса:
Улучшенный вариант:
В каком месяце и году вы родились? (напр. 01.1970)
Не чувствителен к регистру (для разработчиков)
Попробуем улучшить неудачный вопрос в соответствии с данным руководством.
Пример плохого секретного вопроса:
Когда день рождения вашего брата?
Улучшенный вариант:
Какой месяц и год рождения вашего старшего прямого родственника (напр. Январь 1960)?
Для разработчиков: Секретные вопросы придуманные пользователем
На некоторых сайтах, при регистрации пользователи могут сами задать вопрос и ответ на него.
После этого сайта, вам должно стать понятно что создать хороший секретный вопрос непросто. Разрешая пользователю создавать свои вопросы мы ставим перед рядовым пользователем довольно непростую задачу и оставляем дыру в безопасности. Сервис самостоятельного восстановления пароля намного сложней чем кажется с первого взгляда и вы должны хорошо подумать прежде чем реализовать данный сервис. Даже IT профессионалы испытывают сложности при написании хороших вопросов. Как мы можем предполагать что пользователи сходу смогут придумать безопасный, запоминаемый, однозначный и постоянный вопрос во время регистрации?
Моя рекомендация: не разрешайте пользователям придумывать свои собственные вопросы.
Не для всех
Хороший секретный вопрос будет работать не для всех и даже самые хорошие вопросы имеют свои недостатки. Именно поэтому стоит предлагать 2-3 набора вопросов (если требуется защитить важные данные, количество наборов стоит увеличить). Я рекомендую предлагать 15 вопросов в каждом из трех наборов, при этом уже заданные вопросы нужно исключать из последующих групп.
Прочие советы
Мы почти закончили, но есть еще пара моментов на которые стоит обратить внимание при создании хороших секретных вопросов.
Как я взломала секретные вопросы для своего Apple ID
Почему ответы на вопросы “Девичья фамилия вашей матери” и “Что вы делали прошлым летом” не защищают вас от мошенников.
В начале 2012 года у меня появился MacBook. В то время я мало что знала о гаджетах и приобретать еще какие-нибудь устройства Apple точно не собиралась. Однако Apple ID я завела и помимо пароля выбрала несколько секретных вопросов, ответы на которые я точно должна была вспомнить.
Четыре года спустя у меня появился iPad, я приобрела несколько хороших приложений (в том числе из этого нашего списка) и задумалась о безопасности своей учетной записи. Для начала мне захотелось подключить двухэтапную проверку.
Оказалось, что сделать это не так-то просто: Apple не позволила мне внести изменения в разделе «Безопасность» без ответов на контрольные вопросы. Я попробовала на них ответить, но все, что я ввела, не подошло. А привязанный к аккаунту дополнительный email, с помощью которого можно сбросить контрольные вопросы, оказался неподтвержденным.
Грустно покликав несколько раз мышкой по ссылке Verify email и не найдя заветного письма ни в почте, ни в папке спама, я поняла, что дело плохо. Возможности обратиться в службу поддержки у меня в тот момент не было — оставалось только взламывать собственные ответы на контрольные вопросы.
Как у меня это получилось
Должна сказать, что вопросы я выбрала не самые сложные. Вспоминая ответы, я неожиданно поняла, что вычислить их может кто угодно, просто изучив мое резюме или странички в соцсетях.
— Куда вы впервые полетели на самолете?
Первый перелет в моей жизни, так же как и в жизни миллионов других людей, случился по работе — это была командировка в Москву. Поэтому угадать ответ на этот вопрос могла не только я, но и любой другой человек, прочитавший мое резюме на LinkedIn или на сайте поиска работы.
— В каком городе встретились ваши родители?
Мои родители родились, встретились и поженились в том же городе, в котором родилась и выросла я. У большого количества людей похожая биография. Не очень-то секретный вопрос: многие люди указывают в соцсетях не только свой текущий город проживания, но и место рождения.
Например, в информации о пользователе «ВКонтакте» есть специальное поле, куда можно вписать эти данные. Когда эта соцсеть только появилась, она давала определенные бонусы за заполнение своей страницы на 100%. Тогда многие загрузили в соцсеть огромное количество данных о себе (и я в том числе). Все вместе мы создали настоящий клад для социальных инженеров.
— Ваша любимая книга в детстве?
Что ж, у меня было несколько вариантов, но наиболее вероятным ответом был «Хоббит» Дж. Р.Р. Толкиена. И это тоже не такая уж секретная информация: во-первых, книга достаточно популярна. Во-вторых, любой, кто учился со мной в университете, знал, что все три года я писала курсовые работы по «Хоббиту». Черт, даже моя неоконченная диссертация была посвящена 11 переводам этой повести на русский язык. В общем, я была не уверена только в одном: указала ли я в ответах короткое «Хоббит» или полное название книги — «Хоббит, или Туда и обратно».
Как я взломала секретные вопросы для своего Apple ID
Почему же тогда мои ответы не подходили? Все очень просто: в настройках моего личного кабинета стоял английский язык, а значит, и вопросы мне показывали на английском. А ответы четыре года назад я ввела на русском. Как только я ввела их на правильном языке — все сразу получилось.
В итоге этот случай заставил меня задуматься над следующими вопросами.
Что такое хороший секретный вопрос? И если мне предлагают список вопросов, какие лучше выбрать?
Поразмыслив, я пришла к выводу, что есть пять критериев, по которым можно отличить хороший вопрос от плохого.
1. Безопасность. Вопросы должны быть такими, чтобы ответы было сложно угадать или найти в Сети. Например, любимый вопрос всех банков — девичья фамилия матери — явно небезопасен. Не буду тратить ваше время на рассказ о 9 тысячах способов, которыми эту информацию несложно добыть, вы наверняка и сами догадываетесь.
2. Стабильность. Ответ на этот вопрос не меняется со временем. Ваше любимое место работы за несколько лет может поменяться, так же как и самое вкусное блюдо или самый классный музыкальный альбом.
Все знают, как важно пользоваться надежными паролями. Но что такое надежный пароль и как его придумать? Ответ здесь: http://t.co/sUG6HsVq3u
3. Запоминаемость. Пароли мы вводим относительно часто, а ответы на секретные вопросы — очень редко. Вполне может быть, что раз в несколько лет. Будучи подростком, вы, возможно, еще помните имя вашей учительницы в первом классе, но ближе к тридцатилетию оно может стереться из вашей памяти.
4. Простота. На вопрос «Где вы впервые поцеловались?» можно ответить «В Москве», можно — «За баней», а можно — «За_баней». Важно не запутать себя настолько, чтобы потом не вспомнить, что именно вы писали в ответе.
5. Разнообразие ответов. Не выбирайте вопросы, которые требуют ответа «да» или «нет», — взломать их проще простого. Важно, чтобы на вопрос можно было ответить сотнями разных способов, правильный из которых знаете только вы.
Также стоит помнить вот о чем. Всевозможные флешмобы в соцсетях, которые просят пользователей ответить на вопросы вроде «Первые семь мест моей работы — это…» или «Я впервые полетел на самолете в…», — это отличный источник данных для хакеров.
Если хотите, вы можете модифицировать ответ даже на самый банальный секретный вопрос так, чтобы никто его не угадал, кроме вас, только не запутайте себя при этом.
Например, если взять девичью фамилию матери «Огурцова» и выписать из нее только согласные буквы латиницей, вы получите grcv. Добавьте к этому дату рождения, скажем 04.08.80, и объедините через равный промежуток: 04gr08cv80. Не бог весть что, но явно лучше, чем просто «Огурцова».
Этот метод подходит только для тех секретных вопросов, ответы на которые вы называете часто — например, когда вас идентифицирует банк. Периодически вспоминая комбинацию, вы обновляете эту информацию в памяти — если отложить подобный ответ «в стол» на несколько лет, то, скорее всего, вы не вспомните правильный вариант, когда понадобится его ввести.
А вообще, есть более надежные способы защиты аккаунта — например, та же двухэтапная аутентификация.