Контрольный вопрос

Вопрос безопасности является формой общего секрета ^[1] , используемого в качестве аутентификатора . Он обычно используется банками , компаниями кабельного телевидения и провайдерами беспроводной связи в качестве дополнительного уровня безопасности .

История [ править ]

Финансовые учреждения использовали вопросы для аутентификации клиентов, по крайней мере, с начала 20 века. В 1906 речах на заседании в секции Американской ассоциации банкиров , Балтимор банкир Уильям М. Hayden описал использование своего учреждения по вопросам безопасности в качестве дополнения к клиенту подписи записям. Он описал карточки для подписей, которые используются при открытии новых счетов , в которых есть места для указания места рождения, «места жительства», девичьей фамилии матери, профессии и возраста клиента. ^[2]

Хайден отметил, что некоторые из этих элементов часто оставались пустыми и что информация о «месте жительства» использовалась в первую очередь для связи с покупателем, но девичья фамилия матери была полезна как «строгий тест на личность». Хотя он заметил, что кто-то вне семьи клиента редко пытается снять деньги со счета клиента, он сказал, что девичья фамилия матери была полезна для проверки, потому что она редко была известна вне семьи и что даже люди, открывающие счета, были «часто не готовы к этому вопросу». ^[2] Аналогичным образом, согласно современной практике, поставщик кредитной карты может запросить мать клиента »s девичья фамилия перед выдачей замены утерянной карты. ^[1]

В 2000-х годах секретные вопросы получили широкое распространение в Интернете . ^[1] Как форма самостоятельного сброса пароля , вопросы безопасности позволили сократить расходы на службу поддержки информационных технологий . ^[1] Благодаря разрешению использования вопросов безопасности в Интернете они становятся уязвимыми для атак с регистрацией нажатия клавиш и подборами методом перебора . ^[3] Кроме того, в то время как представитель службы поддержки клиентов может надлежащим образом справиться с неточными ответами на вопросы безопасности, компьютеры менее искусны . Таким образом, пользователи должны помнить точное написание, а иногда и регистр ответов, которые они предоставляют, что создает угрозу того, что будет записано больше ответов, что подвергнет их физической краже.

Заявление [ править ]

Из-за банальности социальных сетей многие старые традиционные вопросы безопасности больше не являются полезными и безопасными. Важно помнить, что секретный вопрос - это всего лишь еще один пароль. Таким образом, секретный вопрос не должен передаваться кому-либо еще или включать любую информацию, легко доступную на веб-сайтах социальных сетей, оставаясь при этом простым, запоминающимся, трудно угадываемым и постоянным с течением времени. Понимая, что не каждый вопрос подойдет каждому, RSA (поставщик сетевой безопасности в США, подразделение EMC Corporation) дает банкам 150 вопросов на выбор. ^[1]

Многие сомневаются в полезности секретных вопросов. ^[4]^[5]^[6] Специалист по безопасности Брюс Шнайер отмечает, что, поскольку они являются общедоступными фактами о человеке, их легче угадать хакерам, чем пароли. Знающие это пользователи создают фальшивые ответы на вопросы, а затем забывают ответы, тем самым сводя на нет цель и создавая неудобства, не стоящие вложений. ^[7]

См. Также [ править ]

Аутентификация на основе знаний
Усталость паролей

Ссылки [ править ]

^ a b c d e Левин, Джош (30 января 2008 г.). «В каком городе вы провели медовый месяц? И другие чудовищно глупые вопросы банковской безопасности» . Шифер.
^ a b Уильям М. Хайден (1906), Системы в сберегательных банках , The Banking Law Journal , volume 23, page 909.
^ Бонно, Жозеф; Бурштейн, Эли; Кэрон, Илан; Джексон, Роб; Уильямсон, Майк (18 мая 2015 г.). «Секреты, ложь и восстановление учетной записи: уроки использования личных знаний в Google» . Материалы 24-й Международной конференции по всемирной паутине . Флоренция, Италия: Руководящий комитет международных конференций в Интернете: 141–150. DOI : 10.1145 / 2736277.2741691 . ISBN 978-1-4503-3469-3.
^ Роберт Лемнос, На ваши «секретные вопросы» слишком легко ответить? , MIT Technology Review , 18 мая 2009 г. (получено 21 мая 2015 г.)
^ Виктор Luckerson, прекратить использование этого Больно Очевидный ответ для ваших вопросов безопасности , Time Magazine , 21 мая 2015 (получен 21 мая 2015)
^ Эли Бурштейн, Новое исследование: некоторые сложные вопросы для «вопросов безопасности» , 24-я Международная конференция по всемирной паутине (WWW 2015), Флоренция, Италия, 18–22 мая 2015 г .; Блог Google Online Security , 21 мая 2015 г. (получено 21 мая 2015 г.)
^ Брюс Шнайер. «Проклятие контрольного вопроса» .

[Levin-1] Левин, Джош (30 января 2008 г.). «В каком городе вы провели медовый месяц? И другие чудовищно глупые вопросы банковской безопасности» . Шифер.

[:0-2] Уильям М. Хайден (1906), Системы в сберегательных банках , The Banking Law Journal , volume 23, page 909.

[3] Бонно, Жозеф; Бурштейн, Эли; Кэрон, Илан; Джексон, Роб; Уильямсон, Майк (18 мая 2015 г.). «Секреты, ложь и восстановление учетной записи: уроки использования личных знаний в Google» . Материалы 24-й Международной конференции по всемирной паутине . Флоренция, Италия: Руководящий комитет международных конференций в Интернете: 141–150. DOI : 10.1145 / 2736277.2741691 . ISBN 978-1-4503-3469-3.

[4] Роберт Лемнос, На ваши «секретные вопросы» слишком легко ответить? , MIT Technology Review , 18 мая 2009 г. (получено 21 мая 2015 г.)

[5] Виктор Luckerson, прекратить использование этого Больно Очевидный ответ для ваших вопросов безопасности , Time Magazine , 21 мая 2015 (получен 21 мая 2015)

[6] Эли Бурштейн, Новое исследование: некоторые сложные вопросы для «вопросов безопасности» , 24-я Международная конференция по всемирной паутине (WWW 2015), Флоренция, Италия, 18–22 мая 2015 г .; Блог Google Online Security , 21 мая 2015 г. (получено 21 мая 2015 г.)

[Schneier-7] Брюс Шнайер. «Проклятие контрольного вопроса» .

[1]