如何處理登錄/密碼安全問題

安全問題，也稱為秘密問題，可以說是您目前可能看到的最差的備份身份驗證和帳戶恢復機制。過去他們確實工作過，但是現在，他們既不安全，也不會在驚人的大量現實場景中保密。

以下是一些他們正在思考的例子，可以讓您了解問題的嚴重程度。

罪犯＃1：

這是我見過的最嚴重的安全問題之一。 pic.twitter.com/iBm3kdaFDc

- Marie Huynh（@mariehuynh） 2014年10月9日

這是從2014年開始，我們無法驗證系統是否仍然以相同的方式運行。正如您所看到的，用戶被迫從下拉菜單中選擇“安全問題”，第一個選項是...... * drumroll * ...“加利福尼亞州的[原文如此]國會大廈是什麼？”是的，用戶可以選擇使用一個問題來保護自己的帳戶，而這個問題的答案只是谷歌搜索。

現在，您和Twitter線程中的許多人一樣，可以爭辯說用戶不會被迫正確回答問題，但這不是重點。在最糟糕的情況發生之前，用戶並不傾向於考慮安全問題，並且許多人很想通過在答案字段中輸入薩克拉門託來表明他們在學校一直在關注。即使他們不這樣做，一個擁有城市名單的黑客仍然可能會在幾次嘗試中猜出答案。

罪犯＃2：

這是美國的聯合航空公司。 2016年，他們更新了Frequent Flyer計劃的登錄機制。他們表示，這些變化是提高安全性的一部分。他們的客戶使用的4位數PIN被密碼取代，這似乎是朝著正確方向邁出的一步（儘管一些弱密碼可能比PIN更安全）。然而，他們說，每次用戶從新設備或新瀏覽器登錄時，他們都需要回答5個“安全問題”。他們讓用戶從下拉菜單中選擇問題和答案。

問題數量有限（這是大多數此類系統中的一個固有問題），並且答案數量有限（在“您在哪個月與您的配偶或其他重要人物會面？”的情況下只有12個）。那些認為不回答1而不是2，而是回答5個不同的安全問題的人可能會阻止黑客進入他們的軌道，不應該忘記網絡犯罪分子過去曾經面臨過更嚴峻的挑戰，他們已經脫穎而出。當美國聯合航空公司表示這種設計是為了保護用戶免受鍵盤惡意軟件攻擊時，他們表明他們對安全性的理解有多麼糟糕。

罪犯＃3：

這個值不值得評論. 安全專家Bruce Schneier將其描述為“ 秘密問題的新低 ”，美國國家檔案館網站使用的第三方認證工具包讓用戶可以選擇“您首選的互聯網密碼是什麼？”作為他們的秘密問題。

可怕的首選互聯網密碼挑戰問題示例圖片

上面的三個例子顯示了當開發人員和供應商急於推出和推銷產品而不考慮其（安全）的潛在後果時會發生什麼。然而，即使實施不是那麼可怕，作為認證機制的安全問題仍然不起作用。

在理想的世界中，每一種認證機制都是50/50的安全性和可用性。當然，我們並不生活在一個理想的世界中，我們用來證明我們在互聯網上的身份的所有媒介都存在潛在的陷阱。關於安全問題的問題是它們設法既不安全又難以使用。

對於對該主題感興趣的任何人來說，安全方面應該是非常明顯的。除非您仍然使用郵寄鴿子進行交流並在老式的黑白電視上觀看新聞，否則您無法擺脫互聯網上有關您和您所愛的人的大量信息的事實。 。更糟糕的是，你無法控制它。

這意味著，在這個時代，保護您的帳戶時會出現諸如“您母親的婚前姓名是什麼？”之類的問題。這不是一個非常好的主意。幾乎同樣的事情也適用於“你的第一輛車的品牌和型號是什麼？”，“你在哪個城鎮的名字是什麼？”等等。如果社交網站上沒有它，這個信息可能會擁有前重要的他人，你已經墮落的親人，以及你過去信任過的其他人。即使它們未包含在您的威脅模型中，黑客仍然可以猜測它們，尤其是當安全問題的可能答案數量有限時（例如，“誰是您最喜歡的超級英雄？”）。 過去曾發生過涉及安全問題猜測答案的事件 ，如果用戶和供應商沒有採取相關措施，我們將來可能會看到這些事件。

谷歌在2015年發表的一份研究論文中詳細介紹了所有這些內容。研究人員旨在證明安全問題遠不是驗證用戶身份和重置密碼的完美方式。他們確實做到了這一點。

除了秘密問題的安全方面，谷歌還研究了設置和使用秘密問題的難易程度。事實證明，可記憶性是一個嚴重的問題。例如，他們觀察到僅僅一個月後，大約26％的人忘記了他們“最喜歡的食物”的答案？秘密問題. 到第三個月，將近一半的用戶不記得他們最喜歡的食物是什麼，一年之後，只有47％的人能夠正確回答。當人們不誠實地回答以使他們的安全問題更安全時，這個問題就會放大。當問題的性質使答案更難以猜測時（例如，“你的第一個電話號碼是什麼？”），可記憶性是一個更大的問題。

谷歌的結論是，如果黑客無法猜出秘密問題的答案，用戶就無法記住它們。這就是為什麼，大多數網站和服務提供商一直在緩慢但肯定地從他們的註冊表中刪除秘密問題。然而，有些人仍然擁有它們，這就是用戶需要知道如何處理它們的原因。

專家似乎同意，處理秘密問題答案的唯一方法是使它們像密碼一樣強大和獨特。沒有黑客能夠猜到你媽媽的娘家姓名是“5q *＃！＃0 | @！ - * E2”或者你最喜歡的運動隊是“=你 - @：nL ^ !!：？9 @” 。當然，記住長串的字母，數字和特殊字符很困難，但Cyclonis密碼管理器及其私人筆記功能可以提供幫助。事實上，它可以使整個過程變得更加容易。

使用密碼生成器，您可以創建一個隨機字符串，而不是試圖想到您的第二個最喜歡的意大利菜。使用它來回答您的秘密問題並將其與問題一起保存為私人註釋。您的私人筆記將被加密並存儲在您的個人保管庫中。訪問它們的唯一方法是使用主密碼。

Cyclonis Password Manager可以為您記住您的密碼，這意味著您不太可能使用您保存的秘密問題來重新獲得對帳戶的訪問權限。然而，一些公司仍將它們用作手機認證的手段，這意味著將它們存放在安全的地方可以為您節省很多麻煩。

雖然它們遠非完美，但安全或秘密問題仍然存在，在某些情況下，它們仍然是應該保護敏感數據的機制的一部分。管理它們與管理密碼同樣重要。