vestihitech Читайте нас в Telegram

Многие сервисы требуют от пользователей указать секретный вопрос, который поможет установить его личность в случае проблем с доступом к аккаунту. Это распространенная практика, использующаяся на протяжении последних десятилетий. Тем не менее, проведенное Google исследование показало, что полезность такой системы сомнительна.

"Какая у вас любимая еда?", "Как девичья фамилия вашей матери?", "Как звали вашего первого питомца?". Всем нам хотя бы один раз приходилось заполнять подобное поле на каком-нибудь сайте с важной информацией, а некоторым даже не посчастливилось сидеть перед окошком восстановления пароля, судорожно вспоминая свой ответ. 

Такое неудобство оправдывается тем, что система "секретных вопросов" предоставляет нам дополнительный уровень безопасности. Однако так ли это на самом деле? В Google изучили "сотни миллионов" случаев восстановления паролей при помощи секретных вопросов и пришли к выводу, что практика эта несовершенна. 

"Секретные вопросы недостаточно надежны и недостаточно безопасны для использования в качестве отдельного механизма восстановления аккаунта", - отмечается в исследовании. Это связано с несколькими факторами - во-первых, ответ на несложный секретный вопрос можно без труда угадать или подсмотреть ответ на них в информации, которой человек делится в социальных сетях. Что касается сложных вопросов, то огромное количество пользователей попросту забывают придуманные ответы.

Исследование показало, что на секретный вопрос о еде 20% американцев выбрали ответ "пицца". Таким образом, шанс угадать ответ у злоумышленника равен примерно одному к пяти, что, согласитессь, немало, тем более, что есть несколько попыток. В Испании шанс угадать имя отца с 10 попыток составил 21%, а в Южной Корее оказалось очень просто угадать с нескольких попыток город рождения. 

40% англоговорящих пользователей забывают ответ на свой секретный вопрос. А люди, которые самостоятельно создали вопрос, и вовсе могут вспомнить ответ на него всего лишь в 9% случаев. Исследователи Google рекомендуют владельцам сервисов отказаться от такого способа идентификации и заменить его на двухфакторную защиту посредством СМС или другие более надежные методики. 

Источник: TechCrunch