每當(dāng)我們新注冊一個(gè)網(wǎng)站賬戶時(shí),都可能會要設(shè)置上一些密保問題。這些密保的問題的作用就是在你忘記密碼的時(shí)候能夠用來確認(rèn)身份,但是根據(jù)谷歌的一項(xiàng)最新研究顯示,密保問題中存在著重大缺陷。
密保問題最主要的毛病就在于不能兼顧安全性與可記憶性,如果密保問題的答案很容易被記住,那么對于那些想要竊取賬戶的騙子來說也很容易將其猜出,如果密保問題設(shè)置的無比復(fù)雜,那就算是用戶自己設(shè)定的問題也會被忘在腦后。
根據(jù)谷歌的研究顯示,這一結(jié)論來源于「數(shù)百萬密保問題以及數(shù)百萬賬戶恢復(fù)的請求」數(shù)據(jù),40%說英語的美國人在面對密保問題時(shí)想不起當(dāng)初自己設(shè)置的答案是什么。而對于那些很難被騙子猜出來的「最具安全性」的密保問題,忘記它們答案的人就更多了。「你的航空常旅客號碼是多少?」是一個(gè)最難被騙子破解的密保問題,然而也僅有 9% 的人在面對該問題時(shí)能夠回想起自己當(dāng)初的答案。
簡單的密保問題很容易就被盜取賬戶的人猜出來,比如說針對使用英語的人,黑客有19.7%的機(jī)會猜出「你最愛的食物是什么」的問題答案。谷歌的研究數(shù)據(jù)顯示該問題的答案通常都是「披薩」。
更糟糕的是,在谷歌的這項(xiàng)研究中指出有許多網(wǎng)站會使用那些「答案局限在小范圍」里的密保問題,比方說「你最愛的超級英雄是誰?」。如果讓用戶自己設(shè)置密保問題,大多數(shù)人都傾向于設(shè)置一個(gè)非常容易猜出來的問題。
此外,可能你已經(jīng)意識到了,有相當(dāng)比例的密保問題的答案可以在公開的社交媒體上找到,根據(jù)谷歌的研究表明該比例高達(dá) 16%。
在該項(xiàng)研究之中,谷歌展開了個(gè)人用戶對于網(wǎng)絡(luò)使用安全性看法的調(diào)查。有 63% 的被調(diào)查者表示他們「從未想過自己的密保問題可能會被人破解」,這種情況也有助于解釋為什么有那么多一猜就中的密保問題答案了。
面對這種情況我們該如何做呢?谷歌建議網(wǎng)站在確認(rèn)用戶身份的時(shí)候應(yīng)該使用雙重認(rèn)證這一較為安全的方式。如果你能夠除了使用密保問題之外,還可以用手機(jī)接收網(wǎng)站驗(yàn)證碼或者是在注冊郵箱中獲取登錄鏈接,那當(dāng)然是再好不過的。
如果不進(jìn)行雙重驗(yàn)證,那么你就要對于如何設(shè)置自己的密保問題多加考慮了。Lifehacker 的一篇博文中曾經(jīng)給出了一些不錯(cuò)的建議:
一個(gè)好的密保問題應(yīng)該有著以下特性:
1.容易記住,至少在未來5-10年里你都能記住答案
2.有成千上萬的可能性答案
3.問題答案不能在你的 Facebook、Myspace 中尋得,也不要使用那些在網(wǎng)絡(luò)問卷中曾經(jīng)回答過的答案。
4.答案只包含一兩個(gè)單詞
5.不要改來改去
針對谷歌在研究中指出的密保問題存在的各種漏洞,以上5條不失為解決問題的好對策。
如果想要了解更多關(guān)于密保問題的信息,不妨看看谷歌提供的這張圖吧。
