每当我们新注册一个网站账户时,都可能会要设置上一些密保问题。这些密保的问题的作用就是在你忘记密码的时候能够用来确认身份,但是根据谷歌的一项最新研究显示,密保问题中存在着重大缺陷。
密保问题最主要的毛病就在于不能兼顾安全性与可记忆性,如果密保问题的答案很容易被记住,那么对于那些想要窃取账户的骗子来说也很容易将其猜出,如果密保问题设置的无比复杂,那就算是用户自己设定的问题也会被忘在脑后。
根据谷歌的研究显示,这一结论来源于「数百万密保问题以及数百万账户恢复的请求」数据,40%说英语的美国人在面对密保问题时想不起当初自己设置的答案是什么。而对于那些很难被骗子猜出来的「最具安全性」的密保问题,忘记它们答案的人就更多了。「你的航空常旅客号码是多少?」是一个最难被骗子破解的密保问题,然而也仅有 9% 的人在面对该问题时能够回想起自己当初的答案。
简单的密保问题很容易就被盗取账户的人猜出来,比如说针对使用英语的人,黑客有19.7%的机会猜出「你最爱的食物是什么」的问题答案。谷歌的研究数据显示该问题的答案通常都是「披萨」。
更糟糕的是,在谷歌的这项研究中指出有许多网站会使用那些「答案局限在小范围」里的密保问题,比方说「你最爱的超级英雄是谁?」。如果让用户自己设置密保问题,大多数人都倾向于设置一个非常容易猜出来的问题。
此外,可能你已经意识到了,有相当比例的密保问题的答案可以在公开的社交媒体上找到,根据谷歌的研究表明该比例高达 16%。
在该项研究之中,谷歌展开了个人用户对于网络使用安全性看法的调查。有 63% 的被调查者表示他们「从未想过自己的密保问题可能会被人破解」,这种情况也有助于解释为什么有那么多一猜就中的密保问题答案了。
面对这种情况我们该如何做呢?谷歌建议网站在确认用户身份的时候应该使用双重认证这一较为安全的方式。如果你能够除了使用密保问题之外,还可以用手机接收网站验证码或者是在注册邮箱中获取登录链接,那当然是再好不过的。
如果不进行双重验证,那么你就要对于如何设置自己的密保问题多加考虑了。Lifehacker 的一篇博文中曾经给出了一些不错的建议:
一个好的密保问题应该有着以下特性:
1.容易记住,至少在未来5-10年里你都能记住答案
2.有成千上万的可能性答案
3.问题答案不能在你的 Facebook、Myspace 中寻得,也不要使用那些在网络问卷中曾经回答过的答案。
4.答案只包含一两个单词
5.不要改来改去
针对谷歌在研究中指出的密保问题存在的各种漏洞,以上5条不失为解决问题的好对策。
如果想要了解更多关于密保问题的信息,不妨看看谷歌提供的这张图吧。
