Специалисты Google считают, что для восстановления паролей лучше использовать SMS или электронную почту.
Согласно экспертному докладу Google «Секреты, ложь и восстановление учетной записи: Уроки, извлеченные из личного опыта работы Google с секретными вопросами» (Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google), исследователи пришли к выводу, что секретные вопросы не только неэффективны, но и представляют риск для безопасности пользовательской информации. Стоит отметить, что в докладе анализировались данные о миллионах взаимодействий пользователей с различными системами восстановления паролей.
Секретный вопрос позволяет пользователю, забывшему пароль, подтвердить свою личность и получить доступ к учетной записи, задав ему личный вопрос, ответ на который знает только он. Проблема заключается в том, что пользователь может забыть ответ на вопрос, или при выборе секретного вопроса целенаправленно дать неправильный ответ, полагая, что так безопаснее. Не исключено, что неправильный ответ человек забудет намного раньше, чем правильный.
Интересным описанным в отчете фактом является то, что пользователи, которые выбрали в качестве секретного вопроса название своего любимого блюда, не задумываются, что их вкусы со временем могут поменяться. Если попросить человека ответить на секретный вопрос в течение месяца, то с вероятностью 74% он вспомнит свое любимое блюдо, а если спросить спустя три месяца - результат будет 50/50.
По мнению Google, лучшими секретными вопросами являются название города, в котором родился пользователь, и имя или отчество отца. Однако эксперты предупреждают, что ответы на данные вопросы можно узнать, зная полное имя пользователя. В основном, чем сложнее ответ, тем быстрее человек о нем забудет.
В докладе также отмечается, что всего с 10-й попытки можно угадать ответ на 39% вопросов о городе рождения, если человек родился в Корее (в Корее очень немного крупных городов). С вероятностью 4% можно с первой же попытки угадать второе имя отца испаноговорящего пользователя.
Специалисты Google считают, что для восстановления паролей лучше использовать SMS или электронную почту.
Собираем и анализируем опыт профессионалов ИБ