Quando si crea un account su siti Internet, servizi o applicazioni locali si sono spesso chiesto di scegliere una domanda e risposta di sicurezza come un’opzione di ripristino. Fondamentalmente è un fail safe meccanismo che offre un’altra opzione per ripristinare il tuo account se hai dimenticato o smarrito la password del tuo account.
Gli utenti di Windows che selezionare per proteggere con password il proprio account durante la creazione anche bisogno di aggiungere cosiddetto suggerimenti per l’account che vengono utilizzati per favorire il recupero. Se si dispone di accesso locale al PC, inserimento errato della password una volta che viene visualizzata la password suggerimenti che possono aiutare a recuperare l’account.
Quindi, se si immette la password errata e ottenere un suggerimento che dice “il mio colore preferito” o “mia moglie è di mezzo il nome di” si può essere in grado di utilizzare le informazioni di ricordare la password. Ma si consiglia di non farlo. E il motivo è semplice. A provare tutti i colori popolari come la password del tuo account, oppure trovare tua moglie secondo nome sarà aiutare gli aggressori notevolmente quando si tenta di violare il tuo account utente.
via XKCD
Anche se si seleziona una domanda molto personale, come il nome del tuo primo cane, la posizione che hai incontrato tuo marito o l’ID della tua patente di guida, dare preziose informazioni che un utente malintenzionato può utilizzare per eliminare la password, che non hanno bisogno di essere testati.
A peggiorare le cose, le domande di sicurezza sono spesso salvati meno sicuro le password sul server web o il sistema operativo in modo che sia più facile per gli hacker di entrare in possesso di loro.
Cosa si dovrebbe fare è selezionare un suggerimento per la password o rispondere alle domande di sicurezza che non hanno nulla a che fare con la password dell’account.
Ogni volta che devo compilare una domanda di sicurezza, e prendo uno casuale e utilizzare KeePass per generare una nuova password che mi aggiungere la tua risposta. Il mio colore preferito sarebbe 2xMq2xRG1DbmLVG6to, il mio autista ID jo45GmKveDoz1XPWcv e il mio nome da nubile della madre eXT90ZMUp9afAx7kNU. Faccio salvare tali informazioni come nota in KeePass così che li ho a disposizione in caso di necessità. Il motivo per cui ho scelto caratteri casuali come il suggerimento per la password o la risposta alla sicurezza dovrebbe essere ovvio: per evitare di dare indizi su ciò che la mia password può essere in modo che gli attaccanti non possono sfruttare le informazioni per accedere al conto.
Potete ovviamente utilizzare un sistema diverso, forse, utilizzare sempre la stessa password hint come New York, Password, o anche Haha, invece, che non dovrebbe dare un indizio per recuperare la password utilizzando i suggerimenti. E si può naturalmente utilizzare altri gestori di password come LastPass, per esempio, per generare quelle stringhe casuali.
Come si fa a gestire le domande di sicurezza?