16Aug

Les questions de sécurité ne sont pas sécurisées: comment protéger vos comptes

Nous savons tous que nous devrions créer des mots de passe sécurisés. Mais, pendant tout le temps que nous passons à nous inquiéter de nos mots de passe, il y a une porte dérobée à laquelle nous ne pensons jamais. Les questions de sécurité sont souvent faciles à deviner et peuvent souvent contourner les mots de passe.

Heureusement, de nombreux services réalisent que les questions de sécurité sont très peu sécurisées et les éliminent. Google et Microsoft n'offrent plus de questions de sécurité pour leurs comptes. Au lieu de cela, vous pouvez récupérer un compte en utilisant un numéro de téléphone associé.

Le Palin "Hack"

Ce n'est pas seulement un problème théorique. Sarah Palin's Yahoo! Le compte de courrier électronique a été fameusement "piraté" dans la perspective des élections de 2008.Le "hacker" vient d'utiliser l'invite de réinitialisation du mot de passe et répond à sa question de sécurité.La question était où elle a rencontré son conjoint, et la réponse - Wasilla High - était accessible avec une recherche rapide sur Google.

Le problème avec les questions de sécurité

Ce n'est pas seulement un problème pour Sarah Palin. Lorsque nous configurons des comptes( des comptes bancaires aux comptes de messagerie électronique), nous sommes souvent invités à définir une question de sécurité.La plupart du temps, nous recevrons une liste de questions suggérées comme «Où êtes-vous allé au lycée?» Et «Quel est le nom de jeune fille de votre mère?» Certains sites vous permettent de créer votre propre question, mais beaucoup de forcevous pouvez choisir parmi leur liste de questions suggérées. Certains sites Web vous obligent à configurer plusieurs questions et réponses de sécurité, ce qui signifie que vous ne pouvez pas choisir une seule réponse facile à retenir - vous devez choisir plusieurs questions différentes et vous souvenir de toutes les réponses.

Le vrai problème avec les questions de sécurité est que les réponses sont si évidentes. Les réponses à de nombreuses questions de sécurité, de «Quel est votre anniversaire?» À «Où êtes-vous allé au lycée?» Sont connues du public, si quelqu'un se soucie de regarder. Ils peuvent même être en mesure de les rechercher sur Google. Même si les réponses ne sont pas déjà connues du public, la plupart des gens normaux partageront des détails comme l'endroit où ils ont rencontré leur conjoint et où ils sont allés à l'école dans une conversation normale.

Notions de base sur les questions de sécurité

Si vous n'avez jamais réinitialisé le mot de passe d'un compte, vous ne devrez peut-être jamais traiter vos propres questions de sécurité et les oublier. Vous pouvez souvent cliquer sur un lien indiquant que vous avez oublié votre mot de passe. Si vous répondez correctement à la question de sécurité, vous avez accès à ce compte. De cette façon, les questions de sécurité vous permettent de contourner votre mot de passe. Votre compte n'est plus aussi sécurisé que votre mot de passe, il est aussi sécurisé que votre question de sécurité la plus évidente.

Les réponses aux questions de sécurité sont aussi plus faciles à deviner. Par exemple, si la question est "Quel était le nom de votre premier animal de compagnie?", Il est très facile de deviner quelques noms de familiers communs. Ce n'est pas grave si votre mot de passe est quelque chose d'aussi difficile à deviner que "3 & 40 $ d #% $ t # kteyt".Si le nom de votre premier animal était «Fido» et que vous répondez correctement à la question de sécurité, la réponse sera facile à deviner.

Tous les services ne réinitialiseront pas votre compte et donneront accès à quelqu'un d'autre simplement parce qu'ils connaissent la réponse à votre question de sécurité, mais certains le feront. Les autres services utilisent des questions de sécurité dans le cadre d'un processus d'authentification qui nécessitera d'autres informations personnelles.

Comment choisir et répondre aux questions de sécurité

Gardez tout cela à l'esprit lorsque vous choisissez des questions et réponses de sécurité.Choisissez quelque chose qui serait difficile à trouver ou à deviner par les autres, pas quelque chose comme l'endroit où vous êtes allé à l'école.

La deuxième alternative consiste à désactiver les questions de sécurité.Par exemple, si vous avez la possibilité d'écrire votre propre question de sécurité, vous pouvez entrer une question comme "Quelle est la réponse?" Ou faire référence à une blague que vous seul connaissez. Vous pouvez alors fournir une réponse aussi sécurisée que la question - peut-être que votre paire réponse / question est quelque chose comme "Quelle est la réponse?" "45D% po # Yih8d0Y $ fgp( i34t") Vous avez maintenant juste un second mot de passe pour votrecompte - écrivez-le dans un endroit sécurisé ou stockez-le dans un gestionnaire de mot de passe comme LastPass ou KeePass afin de pouvoir y accéder au cas où vous en auriez besoin. Avec une réponse comme celle-ci, vous avez simplement un deuxième mot de passe.

Gardez à l'esprit que vous n'avez pas à répondre aux questions avec précision non plus. Par exemple, si la question est «Où avez-vous eu votre premier baiser?» Et que vous avez vécu toute votre vie à New York, vous ne voulez probablement pas entrer à New York - c'est une réponse vraiment évidente. Peut-être que votre réponse est "Dans un cratère sur la lune" ou une autre réponse stupide dont vous vous souviendrez, mais d'autres personnes auront plus de difficulté à deviner. Bien sûr, même cette réponse est plus évidente qu'une chaîne apparemment aléatoire. Peut-être votre réponse à "Où avez-vous eu votre premier baiser?" Est 9je7% 5yry835 # 9reou & hf94 @ 7gt5.Même si vous êtes obligé d'utiliser une certaine question, vous êtes libre d'entrer n'importe quelle réponse que vous aimez tant que vous pouvez vous en souvenir. Bien sûr, vous voudrez garder cette réponse sûre au cas où vous auriez besoin de la fournir dans le futur.

Les questions de sécurité ne sont pas sécurisées. Mais, même si vous êtes obligé de les utiliser ou forcé d'utiliser une question non sécurisée, vous n'êtes jamais obligé de fournir une réponse précise. Vous pouvez entrer n'importe quelle réponse que vous aimez tant que vous pouvez vous en souvenir pour plus tard. Quoi que vous fassiez, assurez-vous que vous n'ouvrez pas une porte dérobée qu'un attaquant pourrait utiliser pour contourner votre mot de passe.

Crédit d'image: Paul Keller sur Flickr