Сегодня прочитал одну заметку, в которой утверждают, что эти вопросы о любимом животном совершенно не добавляют безопасности и они не должны использоваться в нормальных сайтах. Доводы против использования - вопросы создают мнимое ощущение безопасности, ведь большинство сайтов используют предопределенные вопросы, такие как:
- девичья фамилия матери
- имя лучшего друга
- первый автомобиль
- когда окончили школу
- название первой работы
И так далее. Эти вопросы я взял из тех, что сам видел на различных сайтах. Если вы зарегистрированы в социальных сетях, то хакер скорей всего найдет ответы на эти вопросы в открытом доступе без проблем. Так что при нацеленной атаке на ваш аккаунт, если хакер выяснит ваш пароль, то вполне вероятно найдет ответы и на эти вопросы. Так что в чем-то я согласен, что данные вопросы создают только видимость безопасности.
Но из личного опыта, целевые атаки составляют слишком малое количество взломов. На много чаще встречается подбор паролей или перебор по существующей базе.
Большинство пользователей очень часто выбирает один и тот же пароль для разных сайтов в интернете. Уже были случаи взлома популярных сайтов, когда уводили пароли пользователей. Если ту же базу прогнать по крупны социальным сетям, то будет достаточно большой процент совпадений. Сайт моего клиента прогоняли по какой-то базе и из 8 миллионов пользователей (да, вот такой большой сайт) процент совпадений был ужасающе большим.
Для email, банковских счетов и любых других финансовых сайтов никаких вопросов безопасности не должно быть, там должна быть нормальная двух факторная аутентификация. Для социальных сетей и простых сайтов вопроса безопасности вполне достаточно. Он позволяет защитится от прогона сайта по базе имен и паролей, а если давать пользователю добавлять компьютер в доверенные, то не доставляет много проблем.
Да, нет защиты от таргетинговой атаки, но это уже проблемы пользователей, если не хотят выбирать сложные и уникальные пароли для каждого сайта и придумывать сложные ответы на вопросы.
Лично я в последнее время выбираю один и тот же отчет на любой вопрос, что-то типа ghutjyfpeq (конечно не этот ответ, но в таком стиле). И пусть ищут этот ответ в социальных сетях. Мне его легко запомнить и отлично защищает.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Лично для меня вопрос не имеет значения. Я отвечаю не на вопрос а пишу лично у меня ассоциированый с данным сайтом "ответ" получая в результате даже примерно такое сочетание:
Вопрос: Номер вашей первой школы?
Ответ: Li4nieDannie9875
Удачи кому либо найти подобный ответ в социальных сетях и прочих источниках.
Скорее всего ваши наборы это какие то русские слова на другой раскладке. Угадал?
Угадал, причем более одного слова (обычно два или три) и обязательно цифра
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
