„Žao mi je ali, ako imate Yahoo nalog, moraćete da nađete sebi novu mamu i da odrastete u drugim ulicama“ – napisao je Met Blejz, naučnik na Univerzitetu Pensilvanije nakon što je Yahoo avgusta 2013. godine obelodanio (do sada najveće) curenje podataka.
Sigurnosna pitanja su vrsta autentifikacije i njihova upotreba u teoriji izgleda kao odličan izbor ali u praksi je malo drugačije.
Ista sigurnosna pitanja i odgovori upotrebljavaju se na više različitih sajtova, što znači da, ako su procureli podaci sigurnosnih pitanja sa jednog sajta, onaj ko je do ovih podataka došao, može imati pristup i svim ostalim sajtovima na kojima se pitanja i odgovori podudaraju, a to uopšte nije redak slučaj.
U kom gradu ste rođeni? Koji je vaš prvi posao? Gde ste upoznali supružnika? Koje je devojačko prezime vaše majke? U kojoj ulici ste odrasli?
Nije baš da su se potrudili da budu kreativni u postavljanju pitanja. I vrlo često izgleda kao da su prepisivali jedni od drugih. Ali, šta mi tu možemo, ako su dozvoljena i obavezna, zaobići ih ne možemo! Američki Nacionalni institut za standarde i tehnologiju ih više ne prepoznaje kao prihvatljiv način autentifikacije ali, šta da radimo u slučajevima gde su „sigurnosna pitanja“ još uvek u upotrebi?
Odgovore na sigurnosna pitanja nije teško pogoditi. Zamislite samo koliko nas je koji imamo iste odgovore!
Društvene mreže i informacije na njima
Danas je odgovore na sigurnosna pitanja prilično lako pronaći. Društvene mreže su ih prepune! Mesto u kom ste se rodili, ime ljubimca, datum rođenja. Nije tako teško, zar ne? Još jedna loša stvar je što su društvene mreže pune nekakvih kvizova ili pitanja na koja korisnici nemilice odgovaraju. U ovim kvizovima ili pitanjima, vrlo često ćete naći upravo ona ista pitanja kakva ćete dobiti i kao sigurnosna. Ako baš volite da igrate ove kvizove, dajte netačne odgovore, ne pothranjujte podatke o sebi na takvim mestima.
Šta da radimo ako baš moramo da ih prihvatimo kao metod autentifikacije?
Nema smisla da poštujemo dobru praksu kreiranja jakih lozinki ako nakon toga nalog dodatno „obezbedimo“ nečim što je lako za pogoditi. Dakle, ako smo kreirali jaku lozinku, kreirajmo jednako jak odgovor na sigurnosno pitanje!
Jedna od opcija je da damo pogrešan odgovor. Jednostavno, slažemo! Bez veze zvuči ali biće još bezveznije ako nam se domognu naloga. E, sad, šta ovde može biti problem? Pa, treba taj lažan odgovor zapamtiti! Drugo, ako vam omiljeno jelo nije sarma, već gulaš, ko sprečava onoga ko želi da dođe do vašeg odgovora da ukuca i ovo drugo i jednostavno proba? Ne gulaš, već odgovor 🙂
Ono što takođe možete da uradite je da na sebi znani odgovor dodate još karaktera, brojeva, slova, šta god možete da zapamtite, a da ne izgleda da će neko drugi lako moći da pogodi. Recimo, knedlesasljivamavolimja12 (ovo je samo primer, ne upotrebljavajte ga :)).
Ako vam platforma daje tu mogućnost, napišite sopstvena sigurnosna pitanja, a zatim i odgovore. U tom slučaju, neka ne budu generička. Potrudite se da se odgovor na njih ne može naći na mrežama, ne može lako pogoditi, da se ne menja vremenom (kao recimo omiljena knjiga), da ima više mogućih odgovora (nasuprot onome gde ste rođeni).