Kontrolní nebo bezpečnostní otázky. Mají sloužit k tomu, že v případě ztráty či odcizení hesla máte mít možnost je znovu získat. Jenže většinou slouží právě k tomu, že vám někdo účet ukradne. Odpovědět na dotazy, které dodnes můžete najít třeba mezi kontrolními otázkami na Seznam.cz, totiž není pro útočníka vůbec složité.
Můj nejoblíbenější film/seriál? Nápověda: Odpověď se dá určitě najít na vašich sociálních sítích, v IMDB, FBD, CSFD nebo se vás prostě někdo zeptá a vy důvěřivě odpovíte. Totéž platí pro Nejoblíbenější herec/herečka? nebo Vysněná destinace pro dovolenou? a Nejoblíbenější kniha/spisovatel?
A co teprve taková otázka jako Rodné příjmení matky? Ta je dnes vlastně jednou z nejjednodušších bezpečnostních otázek. Odpověď zpravidla zjistíte na sociálních sítích.
Málokdo z běžných uživatelů internetu tuší, že na podobně hloupé otázky musí odpovídat cokoli, jenom ne pravdu. Ideální odpovědí je něco zcela nesmyslného, tedy třeba to, že se matka za svobodna jmenovala třeba „hchkrhtnová“. Jenže, popravdě, ono to stejně příliš nepomůže. Odpovědi na kontrolní otázky si totiž stejně musíte někde schovat, protože i když odpovíte správně, za pár týdnů či měsíců si vůbec nebudete jisti tím, co jste tam napsali, ani jak jste to tam napsali.
Trochu lepší varianta kontrolních otázek je ta, kde uvádíte nejenom odpovědi, ale otázky si definujete sami. Tato metoda sice vyžaduje kreativitu k navržení dostatečně šílených otázek a ještě šílenějších odpovědí, ale trochu to případné hacknutí účtu znesnadňuje. Trochu.
Apple ID a tamní bezpečnostní otázky? Pamatujete si je? Já ani omylem, a to jsou povinné.
Google zveřejnil studii Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google založenou na milionech interakcí uživatelů s bezpečnostními otázkami a je v ní poměrně jasný závěr:
Bezpečnostní otázky jsou v bezpečnosti riziko
Možná teď, když už to potvrzuje i studie, pochopí firmy vynucující vyplňování bezpečnostních otázek (například Apple), či používající předem definovaných a k zoufání průhledných otázek (Seznam.cz), že je čas začít se chovat zodpovědně.
Proč jsou bezpečností otázky rizikem? Podíváte-li se do výše zmíněné studie, tak těch argumentů je několik, zejména:
- Nedokážeme si zapamatovat, jak jsme vlastně odpověděli
- Jsme nuceni lhát, čímž odpověď zapomínáme ještě snáze
- „Naše oblíbené“ věci se časem mění
- To, co si opravdu dobře pamatujeme, je opravdu snadno zjistitelné
Google například uvádí, že bezpečností otázka, kterou si velmi dobře zapamatujeme, je město, kde jsme se narodili. Jenže tato informace je zároveň jednou z nejsnáze odhalitelných. Běžně ji máme vyplněnou například na Facebooku. Studie navíc uvádí i to, že třeba u obyvatel Koreje stačí odpověď zkusit desetkrát a máte 39% šanci na uhodnutí. Prostě proto, že v Koreji není dostatek velkých měst.
Z opačného konce: nejhůře zapamatovatelná otázka zní „Číslo letu, se kterým nejčastěji létáte“. Nejenom, že si to skoro nikdo nepamatuje, ale hlavně, jen málo lidí létá tak často, aby vůbec tento údaj dával smysl.
Shrnuto a podtrženo, čím bezpečnější je otázka a odpověď, tím je pravděpodobnější, že ji zapomenete. A opačně, ty nejlépe zapamatovatelné jsou nejméně bezpečné.
Co používat pro získání ztraceného hesla?
Pro získání ztraceného hesla je daleko bezpečnější používat e-mail. Ať už přímo ten, ke kterému je založen účet (prosté poslání odkazu na nové nastavení hesla, samozřejmě nepřipadá v úvahu, aby vám služba poslala vaše původní heslo), nebo náhradní pro případ hacku. Nebo, což je možné až v posledních letech, mobilní telefon – minimálně v podobě SMS.
Studie samotná zmiňuje i způsob obnovy hesla, který má v oblibě Facebook (při ověření identity uživatele při podezřelém přihlášení). Jde o ukazování obrázků a pokud jste tomu někdy byli podrobeni, tak nejspíš dojdete k témuž závěru, jako autoři studie. Aby to fungovalo, museli byste si to předem natrénovat. Studie ostatně zmiňuje i další mechanismus, který používá právě Facebook – „důvěryhodní“ přátelé, kteří vám umožní získat heslo zpět. A říká, že lidé tento způsob dokázali používat pouze v 71 % případů a v deseti procentech vede k úspěchu případného hackera.
Jinými slovy, žádná metoda není perfektní (získání přes SMS selže, pokud nemáte k dispozici telefon, například), ale je zde jeden důležitý závěr. Pokud se někde spoléhají pouze na bezpečností otázky, tak dělají zásadní chybu a chovají se velmi nezodpovědně. A tam, kde je vynucují jako povinné, se chovají ještě nezodpovědněji.
ČLÁNKY DO MAILU