Sikkerhetsspørsmål er en dårlig idé, og her er hvorfor
Helt siden vi hadde passord og kontoer, har det alltid vært hackere som prøver å få hendene på dem. Enda viktigere, folk har også glemt passordene sine. For å gjenopprette dem, implementerer kontooperatøren ofte en rekke spørsmål som du gir dine "hemmelige svar" til. Dette systemet har fungert bra i mange år, men det er riddled med måter å gjøre hackers jobber enklere. Selv om svarene er hemmelige, ser det ut til at du faktisk ofrer sikkerheten din i håp om at en dag dette offeret vil hjelpe deg med å gjenopprette passordet ditt.
Hva gjør sikkerhetsspørsmål fryktelig på sikkerhet
Den 21. mai 2015 publiserte Google noen undersøkelser vedrørende hele sikkerhetsspørsmålet. Tilsynelatende, "hva var ditt første kjæledyrs navn?" Kan være den enkleste svakeste lenken i din sikkerhet, og det kan bringe din konto til hackere på en sølvfat. Mens du kan lage passord som er umulige å gjette, er sikkerhetsspørsmål for gjenoppretting utformet på en slik måte at du skal kunne svare dem enkelt. Dette fungerer bra når du bruker uklare svar som ingen andre kan gjette, men forferdelig hvis ditt kjæledyr har et veldig vanlig navn som "Max" eller "Spot". Hvis du har kalt din hund "Ulysses" eller "Peruggia, "Da kan du stå en sjanse, om enn en som ikke er så lovende.
Du kan også velge alternativ B, som skal ligge om svaret på spørsmålet ditt (dvs. svar på "Offram Klingmanstein III" når du spurte hva morens pikenavn var). Problemet med dette er at du ender med enda en ting du må huske . Å huske svar du løy om er like vanskelig som å huske passordet du glemte i utgangspunktet. Dette er ingen løsning, men en ekstra byrde.
Hva bør erstatte disse spørsmålene?
I tillegg til de sikkerhetsproblemer som spørsmålene innfører, legger de bare til forvirring for de som ikke kan huske byen de ble født i eller navnene på deres første kjæledyr (det skjer). Folk som kjenner deg godt, kan også enkelt få tilgang til kontoene dine med denne metoden. Forhåpentligvis har vi kommet til konklusjonen nå at noe må erstatte "hemmelig svar" metoden. Heldigvis er det mange gode konkurrenter for erstatninger, en av de beste er tofaktorautentisering.
Metoden "hemmelig svar" ble oppfunnet før folk vanligvis hadde mobiltelefoner som kunne åpne SMS-meldinger. På dette tidspunktet i historien har nesten alle som har tilgang til Internett en mobiltelefon. Av 7 milliarder mennesker er det omtrent 6, 8 milliarder telefoner. Google har vedtatt en ny metode for godkjenning som innebærer å sende et engangspassord via SMS for gjenoppretting. For de uten telefoner kan de bruke en backup-e-post enten av en betrodd person eller en som de bruker seg til gjenoppretting. Denne metoden gjør det svært vanskelig å "gjette" sin vei inn i en konto uten brukerens telefon.
Ved å bruke tofaktorautentisering løser du to ting samtidig:
- Du minimerer risikoen for at en person ikke husker deres "svar" siden den unike SMS-koden er levert til brukeren på forespørsel, og
- Du lager en gjenopprettingsmetode som er nesten ubrydelig siden hackeren vil trenge tilgang til et fysisk objekt som brukeren eier.
Kan du tenke på noe annet for å erstatte den hemmelige svarmetoden? Legg igjen dine tanker i en kommentar nedenfor!