秘密问题的诅咒

  • 布鲁斯·施奈188滚球网站尔
  • 计算机世界
  • 2月9日,二千零五

我们都是这样的:我们注册了一些在线帐户,选择一个难记和难猜的密码,然后会有一个“秘密问题”来回答。二十年前,只有一个秘密问题:“你母亲的婚前姓是什么?”今天,还有:“你是在哪条街上长大的?”你的第一只宠物叫什么名字?你最喜欢什么颜色?”等等。

所有这些问题的要点都是相同的:备份密码。如果忘记了密码,这个秘密问题可以验证您的身份,这样您就可以选择另一个密码,或者通过电子邮件将您当前的密码发送给您。从客户服务的角度来看,这是一个很好的主意——与某些随机密码相比,用户不太可能忘记自己的第一只宠物的名字——但对安全性来说却很糟糕。这个秘密问题的答案比一个好密码更容易猜测,而且信息更加公开。(我敢打赌我家第一只宠物的名字就在某个数据库里)更糟的是,每个人似乎都用同样的一系列秘密问题。

结果是,正常的安全协议(密码)又回到了一个不那么安全的协议(秘密问题)。整个系统的安全性也受到了影响。

一个人能做什么?我通常的方法是输入一个完全随机的答案——我疯狂地敲击键盘几秒钟——然后忘记它。这确保了一些攻击者无法绕过我的密码并尝试猜测我的秘密问题的答案,但如果我忘记了我的密码,那会很不愉快。这一次发生在我身上,我不得不打电话给公司,要求重新设置密码和问题。(老实说,我不记得我是如何在电话线的另一端向客户服务代表证明自己的身份的。)

这也许是最开始应该发生的事情。我想如果我忘记了密码,访问我的帐户应该很难。我希望它是如此的困难,以至于攻击者不可能做到这一点。我知道这是客户服务问题,但这也是一个安全问题。如果密码控制着一些重要的东西——比如我的银行账户——的访问,那么绕过机制就更难了,不容易。

密码已达到其使用寿命。今天,它们只适用于低安全性的应用程序。这个秘密问题只是这个事实的一个表现。

类别:计算机和信息安全

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.