Секретный вопрос — это форма общего секрета [1] , используемая в качестве аутентификатора . Он обычно используется банками , кабельными компаниями и провайдерами беспроводной связи в качестве дополнительного уровня безопасности .
Финансовые учреждения использовали вопросы для аутентификации клиентов по крайней мере с начала 20 века. В речи 1906 года на собрании секции Американской ассоциации банкиров банкир из Балтимора Уильям М. Хейден описал использование его учреждением контрольных вопросов в качестве дополнения к записям о подписях клиентов. Он описал карточки с подписями, используемые при открытии новых счетов , в которых были поля для места рождения клиента, «места жительства», девичьей фамилии матери, рода занятий и возраста. [2]
Хейден отметил, что некоторые из этих пунктов часто оставались пустыми и что информация о «месте жительства» использовалась в основном для связи с покупателем, но девичья фамилия матери была полезна как «надежный тест на личность». Хотя он заметил, что кто-то за пределами семьи клиента редко пытался снять деньги со счета клиента, он сказал, что девичья фамилия матери была полезна для проверки, потому что она редко была известна за пределами семьи, и что даже люди, открывающие счета, были "часто не готовы к этому вопросу." [2] Точно так же в соответствии с современной практикой поставщик кредитной карты может запросить мать клиента ' девичью фамилию до выдачи замены утерянной карты. [1]
В 2000-х годах контрольные вопросы получили широкое распространение в Интернете . [1] В качестве формы самостоятельного сброса пароля контрольные вопросы позволили сократить расходы на службу поддержки по информационным технологиям . [1] Разрешая использовать контрольные вопросы в Интернете , они становятся уязвимыми для регистрации нажатий клавиш и атак с угадыванием грубой силы [ 3] , а также для фишинга. [4] Кроме того, в то время как представитель службы поддержки клиентов может справиться с неточными ответами на вопросы безопасности, компьютеры менее искусны.. Таким образом, пользователи должны помнить точное написание, а иногда даже регистр ответов, которые они предоставляют, что создает угрозу того, что будет записано больше ответов, что подвергнет их физической краже.
Из-за банального характера социальных сетей многие из старых традиционных контрольных вопросов больше не являются полезными или безопасными. Важно помнить, что контрольный вопрос — это просто еще один пароль. Таким образом, контрольный вопрос не должен передаваться кому-либо еще или включать любую информацию, легко доступную на веб-сайтах социальных сетей, оставаясь при этом простым, запоминающимся, трудным для угадывания и постоянным во времени. Понимая, что не каждый вопрос подойдет каждому, RSA (провайдер сетевой безопасности в США, подразделение корпорации EMC) дает банкам 150 вопросов на выбор. [1]
Многие сомневаются в полезности контрольных вопросов. [5] [6] [7] Специалист по безопасности Брюс Шнайер отмечает, что, поскольку это общедоступные факты о человеке, хакерам легче угадать их, чем пароли. Пользователи, которые знают об этом, создают фальшивые ответы на вопросы, а затем забывают ответы, тем самым сводя на нет цель и создавая неудобства, которые не стоят вложений. [8]