有时,一些网站会要求输入安全问题及其答案。问题清单是标准的,通常包括“你母亲的娘家姓?”。
有些人使用他们母亲的真实婚前姓氏,以便他们确定在被问到时能够记住要提供的内容(例如,作为恢复帐户过程的一部分)。这意味着该信息在很长一段时间内都是固定的。如果某些 Web 应用程序被黑客入侵,并且这样的答案与电子邮件地址相关联(或者更糟糕的是,与个人身份信息相关联),它可能会为其他 Web 应用程序创建漏洞。
此外,母亲的娘家姓可能会在公共场所共享。
假设此安全问题(或任何其他依赖于一生中的常数的安全问题)存在上述问题:
为什么母亲的娘家姓仍被用作安全问题?
因为人们懒惰和/或无能。而且,嗯,你知道,互联网上到处都是黑猩猩。
我认为所有的安全问题都是不好的,但是使用母亲的娘家姓是非常糟糕的:
路易斯·卡西利亚斯正确地补充道:
有几十个国家,他们之间有数十亿居民,其中的女性在结婚时不会改变她们的法定姓名。尤其是美国有大量来自这些国家的移民少数群体。
说真的,这没有任何借口。这很糟糕。
“安全问题”可能是解决难题的唯一方法。您有一个客户,他们丢失了密码(以及他们的电子邮件访问权限),而你们都希望找回他们。
让他们在您的办公室或与公证人进行亲自验证可能不成比例,这确实是唯一完全安全的解决方案(将安全的政府身份与他们的外表/生物特征相匹配)。
我认为使用这种验证的银行(例如)对每种欺诈的流行程度都有很好的统计数据,并且会知道风险和收益(例如,我的银行需要在出国旅行时识别我,他们可以't 而且他们让我失去了一个客户以及数以万计的终生利润——与他们允许欺诈性使用卡并直接损失数万美元相比——但他们知道只有 5% 的标记交易实际上是欺诈性的)。
嗜睡和/或惰性
更严重的是,机构依赖这些信息在几十年内基本上是秘密的。大规模公开数据泄露的时代是最近才出现的。
大多数组织对变化反应迟缓。
简单如
错误的假设。
安全问题,就像“复杂的”密码要求一样,植根于所谓的最佳实践,但实际上并非如此。就像口头传统一样,这些做法中的许多都是从一名安全人员传给另一名安全人员,并且很少受到质疑(每当他们受到质疑时,往往会证明它们是虚假的)。
安全问题就是其中之一。有人提出了一个合理的想法,很快就形成了一个相当标准的此类问题列表,从那时起,每个人基本上都从那里复制,没有质疑。
所以是的,你是对的,这个和几乎所有其他“安全问题”都是危险的,通常比弱密码(例如,任何不在前 20 名列表中的任何东西)都更容易弄清楚。