Контрольный вопрос - Security question

А Контрольный вопрос это форма поделился секретом[1] используется как аутентификатор. Это обычно используется банки, кабельные компании и провайдеры беспроводной связи как дополнительный безопасность слой.

Финансовые учреждения использовали вопросы для аутентификации клиентов, по крайней мере, с начала 20 века. В речи 1906 г. на заседании секции Американская ассоциация банкиров, Балтимор Банкир Уильям М. Хайден описал, как его учреждение использует секретные вопросы в качестве дополнения к информации о клиентах. подпись записи. Он описал карточки для подписей, используемые при открытии новых учетные записи, в котором указаны место рождения, «место жительства», девичья фамилия матери, род занятий и возраст.

Хайден отметил, что некоторые из этих элементов часто оставались пустыми и что информация о «месте жительства» использовалась в первую очередь для связи с покупателем, но Девичья фамилия матери был полезен как «сильная проверка личности». Хотя он заметил, что кто-то вне семьи клиента редко пытается снять деньги со счета клиента, он сказал, что девичья фамилия матери была полезна при проверке, потому что она редко была известна вне семьи и что даже люди, открывавшие счета, были «часто не готов к этому вопросу».[2] Точно так же в современной практике провайдер кредитной карты может запросить у клиента мать с девичья фамилия перед оформлением замены утерянной карты.[1]

В 2000-х годах секретные вопросы стали широко использоваться на Интернет.[1] Как форма Самостоятельный сброс пароля, контрольных вопросов уменьшилось информационные технологии служба поддержки расходы.[1] Разрешая использование вопросов безопасности онлайн, они становятся уязвимыми для регистрация нажатий клавиш атаки. Кроме того, хотя представитель службы поддержки клиентов может надлежащим образом справиться с неточными ответами по безопасности, компьютеры менее искусный. Таким образом, пользователи должны помнить точное написание, а иногда даже дело ответов, которые они предоставляют, что создает угрозу того, что будет записано больше ответов, что подвергнет их физической краже.

Из-за банальности социальных сетей многие из старых традиционных вопросов безопасности больше не являются полезными или безопасными. Важно помнить, что секретный вопрос - это просто еще один пароль. Таким образом, секретный вопрос не должен передаваться кому-либо еще или включать какую-либо информацию, легко доступную на веб-сайтах социальных сетей, оставаясь простым, запоминающимся, трудно угадываемым и постоянным с течением времени. Понимая, что не все вопросы подходят всем, RSA (поставщик сетевой безопасности в США, подразделение EMC Corporation) дает банкам 150 вопросов на выбор.[1]

Многие сомневаются в полезности секретных вопросов.[3][4][5] Специалист по безопасности Брюс Шнайер указывает на то, что, поскольку они являются общедоступными фактами о человеке, их легче угадать хакерам, чем пароли. Пользователи, которые знают это, создают ложные ответы на вопросы, а затем забывают ответы, тем самым нарушая цель и создавая неудобства, не стоящие вложений.[6]

Смотрите также

Рекомендации

  1. ^ а б c d е Левин, Джош (30 января 2008 г.). «В каком городе вы провели медовый месяц? И другие чудовищно глупые вопросы банковской безопасности». Шифер.
  2. ^ Уильям М. Хайден (1906), Системы в сберегательных кассах, Журнал банковского права, том 23, страница 909.
  3. ^ Роберт Лемнос, На ваши "секретные вопросы" слишком легко ответить?, Обзор технологий MIT, 18 мая 2009 г. (дата обращения 21 мая 2015 г.)
  4. ^ Виктор Лакерсон, Прекратите использовать этот до боли очевидный ответ на свои вопросы безопасности, Журнал Тайм, 21 мая 2015 (дата обращения 21 мая 2015)
  5. ^ Эли Бурштейн, Новое исследование: некоторые сложные вопросы для "секретных вопросов", 24-я Международная конференция World Wide Web (WWW 2015), Флоренция, Италия, 18–22 мая 2015 г .; Блог Google Online Security, 21 мая 2015 (дата обращения 21 мая 2015)
  6. ^ Брюс Шнайер. «Проклятие контрольного вопроса».