Секретные вопросы – Mail.ru отключил секретный вопрос, заменив его номером телефона — Российская газета

Как придумать хороший секретный вопрос

В интернете достаточно просто найти список секретных вопросов, но нелегко найти ХОРОШИЕ секретные вопросы. Я привел примеры хороших, средних и посредственных вопросов. Я также привел сравнение хороших вопросов и разбивку по типам вопросов.

Что определяет степень надежности секретного вопроса? Ниже приведены мои критерии и некоторыми разъяснениями.

Ответ на хороший секретный вопрос:

  1. Безопасен: не может быть легко угадан, подобран перебором вариантов или отыскан
  2. Неизменен: не меняется со временем
  3. Запоминаем
  4. Очевиден или прост

1. Безопасен: не может быть легко угадан, подобран перебором вариантов или отыскан

Наиболее важная характеристика хорошего секретного вопроса это безопасность. Вопрос не должен подвергать риску защищаемый объект. Хороший секретный вопрос должен иметь ответ который нелегко предположить, разгадать или подобрать и таким образом блокировать несанкционированный доступ к учетной записи.

Хороший секретный вопрос удовлетворять ряду требований и иметь высокую энтропию. В общем виде это значит что число возможных ответов должно быть очень велико и вероятность случайного выбора правильного ответа очень низка. Когда вы придумаете вопрос с высокой энтропией, правильный ответ сможет дать только человек знающий ответ наверняка.

Ответ не должен быть находимым через поиск или исследование (как например девичья фамилия матери, дата рождения, имя или фамилия, номер телефона, номер машины, адрес, кличка питомца). Вопрос должен иметь множество вероятных ответов с низкой возможностью предположения. Ответы также не должны быть известны членам семьи, друзьям и близким, бывшим супругам или второй половине.

Примеры плохих секретных вопросов:
  • Какой ваш адрес?
  • Какой ваш номер телефона?
  • Какая девичья фамилия вашей матери?
Примеры неплохих секретных вопросов:
  • О какой работе вы мечтали в детстве? (Если верный ответ "Космонавт" -- то вопрос не очень хорош)
  • Как звали мальчика или девочку которую вы впервые поцеловали? (Ответы вроде "Оля", "Коля" легко подбираются, "Маргарита Орлова" подбирается намного тяжелей)

Дополнительно можно комбинировать несколько вопросов в одном, тем самым увеличивая количество возможных ответов и уменьшая возможность подбора правильного ответа.

Например:

  • Какая кличка, порода и цвет вашего питомца?
  • Какой город, область и район вашего места рождения?

Обратной стороной этого приема является усложнение неизменности правильного ответа.

2. Неизменен: не меняется со временем

Примеры плохих секретных вопросов:
  • Где вы были на отдыхе в прошлом году?
  • В каком возрасте вы хотите перестать работать?
  • Рабочий и

Примеры секретных вопросов - Секретный вопрос

Ниже примеры того что я считаю хорошими, средними и плохими секретными вопросами. Обратите внимание на сравнение вопросов для объективной оценки секретных вопросов. Если у вас есть комментарии или свои соображения, напишите мне на электронную почту -- я буду рад улучшить список.

И помните: не бывает "хороших" секретных вопросов

Хорошие

  • Какое прозвище было у вас в детстве?
  • В каком городе вы познакомились со своей второй половиной?
  • Как звали вашего лучшего друга детства?
  • На какой улице вы жили в третьем классе?
  • Какой месяц и год рождения вашего самого старшего родственника? (напр. Январь 1900)
  • Какое отчество вашего среднего ребенка?
  • Какое отчество вашего самого старого родственника?
  • Какую школу вы посещали в шестом классе?
  • Какой у вас в детстве был номер телефона? (напр. (495) 123-4567)
  • Какое имя и фамилия у вашего старшего двоюродного брата/сестры?
  • Как звали вашу первую плюшевую игрушку?
  • В каком месте встретились ваши родители?
  • Где вы в первый раз поцеловались?
  • Как звали мальчика/девочку которого вы поцеловали?
  • Как звали вашего учителя в третьем классе?
  • В каком городе живет ваш ближайший родственник?
  • Какой месяц и год рождения вашего старшего брата? (напр. Январь 1900)
  • Какая девичья фамилия вашей бабушки?
  • В каком городе была ваша первая работа?
  • В каком месте была ваша свадебная церемония?
  • Как называлось учебное заведение в которое вы поступили, но не стали учиться?
  • Где вы были когда услышали о трагедии девятого сентября?

Средние

  • Как называлась ваша школа?
  • Как называлась компания в которой вы впервые работали?
  • Какое место вы любили посещать будучи ребенком?
  • Какая девичья фамилия вашей тещи/свекрови?
  • В какой стране находится отдых вашей мечты?
  • Как звали вашего любимого учителя?
  • В какое место вы ездили на свой медовый месяц?
  • В какое время вы родились?
  • О какой работе вы мечтали в детстве?
  • Какой номер дома был у вас в детстве?
  • Какой номер автомобиля был у вашего отца в детстве?
  • Кто был героем вашего детства?
  • Какой первый концерт вы посетили?
  • Какие 5 последних цифр вашей кредитной карты?
  • Какой номер у вашей машины?
  • Какие последние 5 цифр водительского удостоверения?
  • Какой месяц и год вашей годовщины?(напр. Январь 2000)
  • Какое имя вашей бабушки?
  • Какое отчество вашей матери?
  • Какая фамилия вашего любимого преподавателя в университете?
  • Кто производитель и какая модель вашей машины?
  • Где вы отдыхали в последнем году?
  • Как зовут собаку вашей бабушки?
  • Какая кличка, порода и цвет вашего настоящего питомца?
  • Какой музыкальный жанр вы предпочитаете?
  • В какой стране и городе вы хотите жить на пенсии?
  • Какой талисман вашего учебного заведения?
  • В каком году вы окончили университет?
  • Как называлась школа которую вы посещали впервые?

Плохие

  • Какой вид спорта вы любили когда учились в институте?
  • Как называется ваш институт?
  • Какая кличка вашего животного?
  • В каком году родился ваш отец?
  • В каком году родилась ваша мать?
  • Как зовут вашего отца (мать)?
  • Какая девичья фамилия вашей матери?
  • Какого цвета была ваша первая машина?
  • Какое отчества вашего

Как я взломала секретные вопросы для своего Apple ID

В начале 2012 года у меня появился MacBook. В то время я мало что знала о гаджетах и приобретать еще какие-нибудь устройства Apple точно не собиралась. Однако Apple ID я завела и помимо пароля выбрала несколько секретных вопросов, ответы на которые я точно должна была вспомнить.

Четыре года спустя у меня появился iPad, я приобрела несколько хороших приложений (в том числе из этого нашего списка) и задумалась о безопасности своей учетной записи. Для начала мне захотелось подключить двухэтапную проверку.

Оказалось, что сделать это не так-то просто: Apple не позволила мне внести изменения в разделе «Безопасность» без ответов на контрольные вопросы. Я попробовала на них ответить, но все, что я ввела, не подошло. А привязанный к аккаунту дополнительный email, с помощью которого можно сбросить контрольные вопросы, оказался неподтвержденным.

Грустно покликав несколько раз мышкой по ссылке Verify email и не найдя заветного письма ни в почте, ни в папке спама, я поняла, что дело плохо. Возможности обратиться в службу поддержки у меня в тот момент не было — оставалось только взламывать собственные ответы на контрольные вопросы.

Как у меня это получилось

Должна сказать, что вопросы я выбрала не самые сложные. Вспоминая ответы, я неожиданно поняла, что вычислить их может кто угодно, просто изучив мое резюме или странички в соцсетях.

Куда вы впервые полетели на самолете?
Первый перелет в моей жизни, так же как и в жизни миллионов других людей, случился по работе — это была командировка в Москву. Поэтому угадать ответ на этот вопрос могла не только я, но и любой другой человек, прочитавший мое резюме на LinkedIn или на сайте поиска работы.

В каком городе встретились ваши родители?
Мои родители родились, встретились и поженились в том же городе, в котором родилась и выросла я. У большого количества людей похожая биография. Не очень-то секретный вопрос: многие люди указывают в соцсетях не только свой текущий город проживания, но и место рождения.

Например, в информации о пользователе «ВКонтакте» есть специальное поле, куда можно вписать эти данные. Когда эта соцсеть только появилась, она давала определенные бонусы за заполнение своей страницы на 100%. Тогда многие загрузили в соцсеть огромное количество данных о себе (и я в том числе). Все вместе мы создали настоящий клад для социальных инженеров.

Ваша любимая книга в детстве?
Что ж, у меня было несколько вариантов, но наиболее вероятным ответом был «Хоббит» Дж. Р.Р. Толкиена. И это тоже не такая уж секретная информация: во-первых, книга достаточно популярна. Во-вторых, любой, кто учился со мной в университете, знал, что все три года я писала курсовые работы по «Хоббиту». Черт, даже моя неоконченная диссертация была посвящена 11 переводам этой повести на русский язык. В общем, я была не уверена только в одном: указала ли я в ответах короткое «Хоббит» или полное название книги — «Хоббит, или Туда и обратно».

Как я взломала секретные вопросы для своего Apple ID

Tweet

Почему же тогда мои ответы не подходили? Все очень просто: в настройках моего личного кабинета стоял английский язык, а значит, и вопросы мне показывали на английском. А ответы четыре года назад я ввела на русском. Как только я ввела их на правильном языке — все сразу получилось.

В итоге этот случай заставил меня задуматься над следующими вопросами.

Что такое хороший секретный вопрос? И если мне предлагают список вопросов, какие лучше выбрать?

Поразмыслив, я пришла к выводу, что есть пять критериев, по которым можно отличить хороший вопрос от плохого.

1. Безопасность. Вопросы должны быть такими, чтобы ответы было сложно угадать или найти в Сети. Например, любимый вопрос всех банков — девичья фамилия матери — явно небезопасен. Не буду тратить ваше время на рассказ о 9 тысячах способов, которыми эту информацию несложно добыть, вы наверняка и сами догадываетесь.

2. Стабильность. Ответ на этот вопрос не меняется со временем. Ваше любимое место работы за несколько лет может поменяться, так же как и самое вкусное блюдо или самый классный музыкальный альбом.

Все знают, как важно пользоваться надежными паролями. Но что такое надежный пароль и как его придумать? Ответ здесь: http://t.co/sUG6HsVq3u

— Kaspersky Lab (@Kaspersky_ru) December 16, 2014

3. Запоминаемость. Пароли мы вводим относительно часто, а ответы на секретные вопросы — очень редко. Вполне может быть, что раз в несколько лет. Будучи подростком, вы, возможно, еще помните имя вашей учительницы в первом классе, но ближе к тридцатилетию оно может стереться из вашей памяти.

4. Простота. На вопрос «Где вы впервые поцеловались?» можно ответить «В Москве», можно — «За баней», а можно — «За_баней». Важно не запутать себя настолько, чтобы потом не вспомнить, что именно вы писали в ответе.

5. Разнообразие ответов. Не выбирайте вопросы, которые требуют ответа «да» или «нет», — взломать их проще простого. Важно, чтобы на вопрос можно было ответить сотнями разных способов, правильный из которых знаете только вы.

Также стоит помнить вот о чем. Всевозможные флешмобы в соцсетях, которые просят пользователей ответить на вопросы вроде «Первые семь мест моей работы — это…» или «Я впервые полетел на самолете в…», — это отличный источник данных для хакеров.

Если хотите, вы можете модифицировать ответ даже на самый банальный секретный вопрос так, чтобы никто его не угадал, кроме вас, только не запутайте себя при этом.

Например, если взять девичью фамилию матери «Огурцова» и выписать из нее только согласные буквы латиницей, вы получите grcv. Добавьте к этому дату рождения, скажем 04.08.80, и объедините через равный промежуток: 04gr08cv80. Не бог весть что, но явно лучше, чем просто «Огурцова».

Этот метод подходит только для тех секретных вопросов, ответы на которые вы называете часто — например, когда вас идентифицирует банк. Периодически вспоминая комбинацию, вы обновляете эту информацию в памяти — если отложить подобный ответ «в стол» на несколько лет, то, скорее всего, вы не вспомните правильный вариант, когда понадобится его ввести.

А вообще, есть более надежные способы защиты аккаунта — например, та же двухэтапная аутентификация.

Секретный вопрос

Что такое "Секретный вопрос"?

Если вы когда-нибудь регистрировались на сайтах или проектировали форму регистрации для сайта, тогда вам знакомы вопросы вроде "Какая девичья фамилия вашей матери?" или "Какая кличка вашего питомца?. Эти секретные вопросы используются в двух случаях:

  • Восстановление пароля: если вы забыли свой пароль, вам зададут секретный вопрос и если вы ответите верно, вам или скажут пароль или вы сможете ввести новый пароль вместо забытого.
  • Проверка при входе: некоторые сайты время от времени отображают секретный вопрос в качестве второго уровня проверки личности.

Преимущества

Секретные вопросы позволяют уменьшить стоимость поддержки: разрешив пользователям менять забытый пароль самостоятельно вместо запросов в службу поддержки. По словам Пола Лодмана, самостоятельный сброс забытого пароля экономит от 51 до 147 долларов в каждом случае самостоятельных действий.

  • Секретные вопросы безопасней попыток проверить личность звонящего по телефону.
  • Проверка при входе может сделать пользование вашей учетной записью безопасней по сравнению со стандартной комбинацией логин+пароль.

(Без)опасность?

Термин "Секретный вопрос" вызывает ложное чувство безопасности, на самом деле "секретные вопросы" создают потенциальную брешь в безопасности, предоставляя взломщикам возможность получить доступ к учетной записи в случае обнаружения верного ответа на вопрос. Когда-нибудь эксперты по безопасности найдут способы восстановления пароля лучше чем секретный вопрос, но пока именно секретные вопросы будут преобладать.

Таким образом, секретные вопросы обладают как преимуществами, так и недостатками. Плохие вопросы создают дыры в безопасности и ненужные звонки в службу поддержки. Хорошие секретные вопросы могут быть очень полезны, но к сожалению встречаются нечасто.

Как бы то ни было, на самом деле НЕ СУЩЕСТВУЕТ ХОРОШИХ СЕКРЕТНЫХ ВОПРОСОВ, только средние и плохие. "Хорошие" секретные вопросы дают впечатление приемлемых и защищающих пользователя. В реальности, секретные вопросы представляют дополнительную возможность взломщику и даже самых лучших вопросов недостаточно для защиты от всех атак. Риск взлома в обмен на самообслуживание.

Социальные сети (Фейсбук, одноклассники, вконтакте, мойкруг, твиттер, личные блоги) увеличивают риски взлома секретных вопросов. Люди великодушно рассказывают о себе, своей биографии, предпочтениях и ближайшем окружении. Сейчас намного проще найти информацию о человеке.

Хорошие секретные вопросы

Большинство сайтов регистрирующих пользователей, используют ту или иную форму секретных вопросов. Но мой опыт говорит о том что мало кто пред

Как создать секретный вопрос/ответ - База знаний uCoz

Секретный вопрос/ответ

Ввод ответа на секретный вопрос помогает защитить сайт от внесения критических изменений. Даже в случае, если злоумышленники завладели паролем от панели управления, они не смогут удалить модуль, изменить пароль или настройки безопасности, не зная ответа на секретный вопрос.

Список действий, для которых требуется ответ на секретный вопрос:

  1. восстановление пароля
  2. прикрепление/открепление домена
  3. настройки SSL
  4. удаление модулей
  5. изменение настроек безопасности сайта
  6. удаление сайта
  7. изменение контактного email
  8. изменение пароля FTP/ пароля аккаунта
  9. смена владельца сайта

Однако важно понимать, что если вы забудете ответ на секретный вопрос, то сами не сможете внести эти изменения на сайте.

Не используйте в качестве ответа на секретный вопрос информацию, которая может быть известна вашим знакомым или опубликована где-либо (социальные сети, игры, форумы, чаты). Шанс подобрать ответ на такой вопрос у злоумышленников значительно возрастает.

Секретный вопрос и ответ на него создаются при регистрации uID-аккаунта:

Чтобы изменить секретный вопрос и ответ, войдите в uID-аккаунт на сайте http://uid.me и откройте настройки безопасности:

Выберите новый секретный вопрос и введите ответ на него. Для подтверждения потребуется указать ответ на старый секретный вопрос.

Как восстановить ответ на секретный вопрос?

Для восстановления ответа на секретный вопрос вам необходимо связаться со службой технической поддержки. Для этого воспользуйтесь формой обратной связи и отправьте сообщение со следующим содержанием:

“Здравствуйте! Прошу Вас напомнить ответ на секретный вопрос для сайта [ссылка на сайт]. Какие данные нужно предоставить для напоминания? Заранее спасибо.”

Рекомендации:

В случае отправки документов не прибегайте к использованию сервисов загрузки изображений. В противном случае вы рискуете передать личные данные третьим лицам.

Важно! После смены вопроса и ответа на uid.me автоматически меняется вопрос и ответ для всех сайтов профиля.

Секретный вопрос/ответ

Google доказала, что практика "секретных вопросов" бесполезна

Многие сервисы требуют от пользователей указать секретный вопрос, который поможет установить его личность в случае проблем с доступом к аккаунту. Это распространенная практика, использующаяся на протяжении последних десятилетий. Тем не менее, проведенное Google исследование показало, что полезность такой системы сомнительна.

"Какая у вас любимая еда?", "Как девичья фамилия вашей матери?", "Как звали вашего первого питомца?". Всем нам хотя бы один раз приходилось заполнять подобное поле на каком-нибудь сайте с важной информацией, а некоторым даже не посчастливилось сидеть перед окошком восстановления пароля, судорожно вспоминая свой ответ. 

Такое неудобство оправдывается тем, что система "секретных вопросов" предоставляет нам дополнительный уровень безопасности. Однако так ли это на самом деле? В Google изучили "сотни миллионов" случаев восстановления паролей при помощи секретных вопросов и пришли к выводу, что практика эта несовершенна. 

"Секретные вопросы недостаточно надежны и недостаточно безопасны для использования в качестве отдельного механизма восстановления аккаунта", - отмечается в исследовании. Это связано с несколькими факторами - во-первых, ответ на несложный секретный вопрос можно без труда угадать или подсмотреть ответ на них в информации, которой человек делится в социальных сетях. Что касается сложных вопросов, то огромное количество пользователей попросту забывают придуманные ответы.

Исследование показало, что на секретный вопрос о еде 20% американцев выбрали ответ "пицца". Таким образом, шанс угадать ответ у злоумышленника равен примерно одному к пяти, что, согласитессь, немало, тем более, что есть несколько попыток. В Испании шанс угадать имя отца с 10 попыток составил 21%, а в Южной Корее оказалось очень просто угадать с нескольких попыток город рождения. 

40% англоговорящих пользователей забывают ответ на свой секретный вопрос. А люди, которые самостоятельно создали вопрос, и вовсе могут вспомнить ответ на него всего лишь в 9% случаев. Исследователи Google рекомендуют владельцам сервисов отказаться от такого способа идентификации и заменить его на двухфакторную защиту посредством СМС или другие более надежные методики. 

Источник: TechCrunch

Mail.ru отключил секретный вопрос, заменив его номером телефона — Российская газета

Российский почтовый сервис Mail.Ru в целях защиты электронных ящиков отключил опцию "секретный вопрос" при создании новых учетных записей. Новым клиентам, проходящим процедуру регистрации, теперь предлагается оставить номер мобильного телефона.

Соответствующий релиз опубликован на сайте компании. В течение многих лет восстановление доступа к почтовому аккаунту через ответ на секретный вопрос считалось нормальной практикой в интернет-отрасли, и многие пользователи до сих пор выбирают именно этот метод, говорится в сообщении. Однако очевидно, что с точки зрения безопасности секретный вопрос является слабым местом, подчеркивают в Mail.Ru.

"Мы уже давно целенаправленно продвигаем среди наших пользователей возможность привязать к ящику номер мобильного телефона как наиболее надежный метод восстановления доступа, и сейчас такая привязка существует почти у 80 процентов нашей активной аудитории, приводит источник слова вице-президента Mail.Ru Group Анны Артамоновой. Аккаунтов, где единственный способ восстановления - это секретный вопрос, менее девяти процентов, и мы продолжим работать над тем, чтобы их число сокращалось".

Свои действия сервис объяснил тем, что ответ на секретный вопрос довольно легко подобрать. Ведь это обычное слово, то есть тот же пароль, только не отвечающий требованиям по сложности и уникальности. Ведь люди выбирают вопрос попроще, упуская из виду, что зачастую уже в самой его формулировке содержится подсказка для взломщика.

По современным стандартам безопасности, вариант "номер мобильного" является наиболее надежным, уточняет источник.

Секретный вопрос больше не увидят и те пользователи, у кого в регистрационных данных указаны альтернативные способы восстановления пароля, например, привязка к номеру мобильного телефона или дополнительный электронный ящик.

Тот, кто при регистрации ранее выбрал для восстановления доступа к ящику исключительно способ "секретный вопрос", увидит его, как и прежде, однако Mail.Ru все равно призывает "упорных" отказаться от этой практики и выбрать другие, более безопасные способы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *