När du skapar ett konto på webbplatser, tjänster eller i lokala program som du ofta ombedd att välja en säkerhetsfråga och svar som ett alternativ. Det är i grunden en fail safe mekanism som ger dig ett annat alternativ för att återställa ditt konto om du har glömt eller tappat bort ditt lösenord.
Windows-användare som väljer att lösenordsskydda sitt konto under skapandet måste också lägga till så kallade lösenord tips till det konto som används för att hjälpa dem i återhämtningen. Om du har lokala tillgång till DATOR, mata in ett felaktigt lösenord en gång visar lösenord tips som kan hjälpa dig att återställa kontot.
Så, om du anger fel lösenord och få en ledtråd som säger “min favoritfärg” eller “min fru är mitt namn” du kanske kan använda informationen för att komma ihåg lösenord. Men du bör inte göra det. Och anledningen till det är enkel. Prova alla populära färger som lösenord för ditt konto, eller ta reda på din fru är mitt namn kommer att hjälpa angripare kraftigt när de försöker bryta sig in på ditt användarkonto.
via XKCD
Även om du väljer en mycket personlig fråga, som det hette din första hund, den plats som du träffade din man eller ID för ditt körkort, du ger upp värdefull information som en angripare kan använda för att eliminera lösenord som inte behöver testas vid alla.
För att göra saken värre, säkerhets-frågor är ofta sparas mindre säkert än lösenord på web-servrar eller operativsystemet så att det är enklare för angripare att få tag i dem.
Vad du bör göra är att välja ett lösenord tips eller svar på frågor om säkerhet som har ingenting att göra med lösenordet för kontot.
När jag måste fylla ut en säkerhetsfråga, jag plockar en slumpmässig och använda KeePass för att generera ett nytt lösenord som jag till svar. Min favorit färg skulle vara 2xMq2xRG1DbmLVG6to, min förarens ID jo45GmKveDoz1XPWcv och min mors namn som ogift eXT90ZMUp9afAx7kNU. Jag sparar de uppgifter som en anteckning i KeePass så att jag har dem tillgängliga om behov uppstår. Anledningen till att jag väljer slumpmässiga tecken som lösenord tips eller svar på den säkerhet som borde vara självklart: att inte ge bort ledtrådar till vad mitt lösenord kan vara så att angriparna inte kan utnyttja den informationen för att få åtkomst till kontot.
Du kan naturligtvis använda ett annat system, kanske alltid använda samma password hint (ledtråd som New York, Lösenord, eller ens Haha stället som inte ska ge någon en aning om att återställa lösenordet med hjälp av tips. Och du kan naturligtvis använda andra chefer lösenord som LastPass till exempel för att generera dem slumpmässigt strängar.
Hur gör du för att hantera frågor om säkerhet?