Sappiamo tutti che dovremmo creare password sicure. Ma, per tutto il tempo che passiamo preoccupandoci delle nostre password, c'è una backdoor a cui non pensiamo mai. Le domande di sicurezza sono spesso facili da indovinare e spesso possono aggirare le password.
Per fortuna, molti servizi stanno realizzando la sicurezzale domande sono molto insicure e le fanno impazzire. Google e Microsoft non offrono più domande di sicurezza per i loro account, ma puoi recuperare un account utilizzando un numero di telefono associato.
The Palin "Hack"
Questo non è solo un problema teorico. Yahoo! di Sarah Palin L'account e-mail è stato notoriamente "violato" in vista delle elezioni del 2008. L '"hacker" ha appena usato la richiesta di reimpostazione della password e ha risposto alla sua domanda di sicurezza. La domanda era dove aveva incontrato il coniuge e la risposta - Wasilla High - era accessibile con una rapida ricerca su Google.
Il problema con le domande di sicurezza
RELAZIONATO: Proteggiti utilizzando la verifica in due passaggi su questi 16 servizi Web
Questo non è solo un problema per Sarah Palin. Quando creiamo account, dai conti bancari agli account di posta elettronica, ci viene spesso chiesto di impostare una domanda di sicurezza. Il più delle volte, ci verrà fornito un elenco di domande suggerite come "Dove sei andato al liceo?" E "Qual è il nome da nubile di tua madre?" Alcuni siti web ti consentono di creare la tua domanda, ma molte forze puoi scegliere dalla loro lista di domande suggerite. Alcuni siti Web ti costringono a impostare più domande e risposte sulla sicurezza, il che significa che non puoi semplicemente scegliere un'unica risposta facile da ricordare, devi scegliere diverse domande e ricordare tutte le risposte.
Il vero problema con le domande di sicurezza è quellole risposte sono così ovvie. Le risposte a molte domande sulla sicurezza, da "Qual è il tuo compleanno?" A "Dove sei andato al liceo?" Sono di dominio pubblico, se qualcuno si preoccupa di guardare. Potrebbero anche essere in grado di cercarli su Google. Anche se le risposte non sono già di dominio pubblico, la maggior parte delle persone normali condividerà dettagli come dove hanno incontrato il coniuge e dove sono andati a scuola durante una normale conversazione.
Nozioni di base sulla domanda di sicurezza
Se non hai mai reimpostato la password di un account, tupotrebbe non essere mai necessario affrontare le proprie domande di sicurezza e dimenticarsene. Spesso sei in grado di fare clic su un link che dice che hai dimenticato la password e, se rispondi correttamente alla domanda di sicurezza, ti viene dato l'accesso a tale account. In questo modo, le domande di sicurezza consentono di ignorare la password. Il tuo account non è più sicuro come la tua password, è solo sicuro come la tua più ovvia domanda di sicurezza.
Le risposte alle domande di sicurezza sono anche più facili da fareindovina. Ad esempio, se la domanda è "Qual era il nome del tuo primo animale domestico?", È molto facile indovinare alcuni nomi di animali domestici comuni. Non importa se la tua password è difficile da indovinare come "3 & 40 $ d #% $ t # kteyt". Se il nome del tuo primo animale domestico era "Fido" e rispondi accuratamente alla domanda di sicurezza, la risposta sarà facile da indovinare.
Non tutti i servizi resetteranno il tuo account edare a qualcun altro l'accesso solo perché conoscono la risposta alla tua domanda di sicurezza, ma alcuni lo faranno. Altri servizi utilizzano domande di sicurezza come parte di un processo di autenticazione che richiederà altre informazioni personali.
Come scegliere e rispondere alle domande di sicurezza
Tenere presente tutto ciò quando si scelgono domande e risposte sulla sicurezza. Scegli qualcosa che sarebbe difficile da scoprire o indovinare per altre persone, non qualcosa di simile a dove sei andato a scuola.
RELAZIONATO: Perché dovresti usare un gestore di password e come iniziare
La seconda alternativa è quella di rinunciare alla sicurezzadomande. Ad esempio, se ti viene data la possibilità di scrivere la tua domanda di sicurezza, puoi inserire una domanda come "Qual è la risposta?" O fare riferimento a una battuta che solo tu sapresti. Puoi quindi fornire una risposta sicura come la domanda: forse la tua coppia di risposte / domande è qualcosa del tipo "Qual è la risposta?" "45D% po # Yih8d0Y $ fgp (i34t". Ora hai solo una seconda password per il tuo account - scrivilo in un posto sicuro o memorizzalo in un gestore di password come LastPass o KeePass in modo da poterlo accedere in caso di necessità. Con una risposta come questa, in pratica hai solo una seconda password.
Ricorda che non devi risponderedomande precise, neanche. Ad esempio, se la domanda è "Dove hai avuto il tuo primo bacio?" E hai vissuto a New York per tutta la vita, probabilmente non vorrai entrare a New York - è una risposta davvero ovvia. Forse la tua risposta è "In un cratere sulla luna" o un'altra stupida risposta che ricorderete, ma altre persone avranno più problemi a indovinare. Naturalmente, anche questa risposta è più ovvia di una stringa apparentemente casuale. Forse la tua risposta a "Dove hai avuto il tuo primo bacio?" È 9je7% 5yry835 # 9reou & hf94 @ 7gt5. Anche se sei costretto a utilizzare una determinata domanda, sei libero di inserire qualsiasi risposta ti piaccia finché puoi ricordarla. Ovviamente, ti consigliamo di tenere al sicuro questa risposta nel caso in cui dovessi fornirla in futuro.
Le domande di sicurezza non sono sicure. Ma, anche se sei costretto a usarli o sei costretto a fare una domanda insicura, non sei mai costretto a fornire una risposta accurata. Puoi inserire qualsiasi risposta ti piaccia purché tu possa ricordarla per dopo. Qualunque cosa tu faccia, assicurati di non aprire una backdoor che un utente malintenzionato potrebbe utilizzare per ignorare la tua password.
Credito d'immagine: Paul Keller su Flickr
