Når du oppretter en konto på Internett nettsteder, tjenester eller i lokale apper du ofte bedt om å velge et sikkerhetsspørsmål og-svar som et alternativ for gjenoppretting. Det er i utgangspunktet en fail safe ” – mekanisme som gir deg et annet alternativ for å gjenopprette kontoen din hvis du har glemt eller mistet passordet for kontoen.
Windows-brukere som velger å passord beskytte sin konto under oppretting også behov for å legge til såkalte passord hint til kontoen som blir brukt til å hjelpe dem i oppgangen. Hvis du har lokal tilgang til PC, skrive inn et feil passord en gang viser password hint som kan hjelpe deg å gjenopprette kontoen din.
Så, hvis du skriver feil passord og få et tips som sier: “min favorittfarge” eller “min kone ‘ s mellomnavn” du kan være i stand til å bruke informasjonen til å huske passord. Men du bør ikke gjøre det. Og grunnen til det er enkel. Prøver ut alle populære farger som din konto passord, eller å finne ut din kone ‘ s mellomnavn vil hjelpe angripere sterkt når de prøver å bryte seg inn i din brukerkonto.
via XKCD
Selv om du velger et veldig personlig spørsmål, som navnet på din første hund, der du møtte din mann eller ID-en av førerkort, kan du gi opp verdifull informasjon som en angriper kan bruke til å eliminere passord som ikke trenger å bli testet i det hele tatt.
For å gjøre vondt verre, sikkerhet spørsmål lagres ofte mindre sikkert enn passord på web-servere, eller operativsystem, slik at det er lettere for angripere å få tak i dem.
Hva du bør gjøre, er å velge et passord hint eller svaret på sikkerhetsspørsmålet som har ingenting å gjøre med den kontoen.
Når jeg trenger å fylle ut et sikkerhetsspørsmål, jeg plukke en tilfeldig og bruke KeePass for å generere et nytt passord som jeg vil legge til som svar. Min favoritt farge ville være 2xMq2xRG1DbmLVG6to, min sjåfør ID jo45GmKveDoz1XPWcv og min mors pikenavn eXT90ZMUp9afAx7kNU. Jeg lagrer de opplysninger som notat i KeePass slik at jeg har dem tilgjengelig hvis behovet oppstår. Grunnen til at jeg velger tilfeldige tegn som passord hint eller svar til sikkerhet bør være åpenbar: å ikke gi bort ledetråder til hva passordet mitt kan være slik at angriperne kan ikke utnytte informasjonen for å få tilgang til kontoen din.
Du kan selvsagt bruke et annet system, kanskje alltid bruke samme passord hint som New York, Passord, eller selv Haha stedet som ikke bør gi noen en anelse for å gjenopprette passord ved hjelp av hint. Og du kan selvsagt bruke andre passord ledere som LastPass for eksempel for å generere disse tilfeldige strenger.
Hvordan kan du håndtere sikkerheten spørsmål?