אופן השימוש בשאלות אבטחה על ידי אתר, קובע אם הן מערערות את מנגנון האימות החזק כביכול (של שימוש בסיסמאות טובות).

בדרך כלל מערכות המאפשרות גישה למשתמשים לאחר שהן עברו ענה על שאלת אבטחה, חלש יותר ממערכות שיעבירו סיסמה (זמנית) למשתמש דרך ערוץ (שונה ובטוח). ההצהרה הקודמת מעבירה שיטות עבודה מומלצות, ומערכות מסוימות אינן צריכות ליישם את כולן; מערכות מסוימות יספקו סיסמה חדשה (אשר לא נדרש לשנות על ידי משתמש), וישנן מערכות אחרות אשר יעבירו את הסיסמה דרך ערוץ לא מאובטח.

מילוי שאלת אבטחה בתווים אקראיים אינו בהכרח גישה טובה (אם כי עדיפה על תשובה קטנה יותר עם אנטרופיה נמוכה), שכן היא תקשה על הזכירה, וכתוצאה מכך תרחיש נעילה אפשרי (שממנו לעיתים קרובות אין נקודת התאוששות). יש לזכור ששאלות אבטחה לרוב אינן משתנות מעת לעת בניגוד לסיסמאות. התשובה תלויה אם כן באיזו מידה התשובה מוגנת (הן על ידי המשתמש והן על ידי המערכת), עד כמה התשובה פומבית בפועל, ובאיזו תדירות ניתן לשנות את השאלה (והתשובה).

קריאה זו מומלצת שאלה הקשורה ל- StackOverflow, לתשובות לדון בתקשורת מחוץ לתחום, בין השאר כמו תרחיש נעילה אפשרי.

כן.

שם טוב יותר לשאלות "אבטחה" אלה יהיה "שאלות נוחות". הם דרך חלופית לגשת לאותו חשבון, תוך עקיפת הסיסמה. מכיוון שתשובות לשאלות כאלה מורכבות בדרך כלל ממילים קיימות, הן מהוות היעד המושלם להתקפות מילוניות, או אפילו סתם לנחש. הדברים מחמירים עוד יותר כאשר לתוקף יש כבר כמה פרטים אישיים.

הטוב ביותר שאתה יכול לעשות אם אתה צריך להירשם כמנוי למשהו שמציג "שאלת אבטחה" (והופך אותו לחובה) הוא אכן פשוט להיכנס רצף ארוך מאוד של תווי אשפה.

מחקר שנערך בשנת 2015, המבוסס על פריסת שאלות הידע האישי של גוגל, מכיל עדויות רבות לבעיות הרבות בהן: סודות, שקרים והשבת חשבון: לקחים משימוש בשאלות ידע אישי ב- Google

כמה ממצאים:

• שאלות סודיות מציעות בדרך כלל רמת אבטחה נמוכה בהרבה מסיסמאות שנבחרו על ידי המשתמש
• חלק ניכר מהמשתמשים ( 37%) שהודו כי סיפקו תשובות מזויפות עשו זאת בניסיון להפוך אותם ל"קשה יותר לנחש ", אם כי באופן כללי התנהגות זו השפיעה הפוכה מאחר שאנשים" מקשיחים "את תשובותיהם באופן צפוי
• תשובות בעלות זכירות גרועה באופן מפתיע, עם אחוזי הצלחה של 60%, לעומת 80% עבור קודי איפוס SMS
• שאלות שהכי בטוחות ביותר (למשל מה מספר הטלפון הראשון שלך) הן גם אלה עם הבלתי נשכח ביותר

הם מסיקים ש

נראה כמעט בלתי אפשרי למצוא שאלות סודיות שהן אחרת מאובטחת ובלתי נשכחת. לשאלות סודיות יש שימוש מסוים בשילוב עם אותות אחרים, אך אין להשתמש בהן לבד והפרקטיקה הטובה ביותר אמורה להעדיף חלופות אמינות יותר.

אם אתה רוצה שזה לא יהיה לענות? רוב האתרים הללו ידרשו ממך לאפס סיסמה בדואר בכל מקרה, כך שהם יזדקקו לפרטי הדוא"ל שלך כדי להגיע לכל מקום, התשובה היא בעיקר כדי למנוע מאנשים לעצבן אותך על ידי איפוס מתמיד של הסיסמה.

אם אתה יכול לאפס סיסמה בשאלה "סודית" רק אז זו אבטחה מחורבנת.

כן. אם ללא שום סיבה אחרת שהסיסמה שלך וגם השאלה / תשובה הסודית שלך הם סודות משותפים והפרקטיקה הטובה ביותר מכתיבה שאתה לא משתף את הסודות האלה עם צדדים שלישיים, אבל זה בדיוק מה שאתה מתבקש לעשות כשאתה מספק שאלה סודית /answer.

מה שאתה צריך לעשות במקום "להוראות הבאות" הוא להמציא אלגוריתם פשוט המאפשר לך ליצור את התשובה בהתחשב בשאלה, שם האתר והתשובה האמיתית.

השאלות הסודיות שלי הן בדרך כלל "מה הסיסמה שלך?" ואז התשובה היא בעצם משהו אחר.

אני הופך את התשובה לאקראית ככל האפשר וכמה שיותר זמן ושומרת אותה יחד עם הסיסמה עצמה. כך שאם אסור למספרים, אני משתמש בכל האותיות. אבל בדרך כלל אני מכין את רובם כ- 20-30 תווים אלפאנומריים.

זה מה שאני עושה עם דוא"ל מבוסס אינטרנט (gmail) וכל הסיסמאות הבנקאיות שלי. הבנק שלי חשוף למניעת התקפת שירות (סיסמאות שגויות יחסמו את מזהה המשתמש שלי) ולכן הייתי צריך לבחור מזהה משתמש שהיה גם אקראי ואורך מקסימאלי ולשמור גם בסוד.

כן עדיף למלא אותו במחרוזת ארוכה המכילה תו אקראי, מאשר לענות על השאלה האמיתית או לתת תשובה קצרה. אם החלטתם ללכת בגישה זו עליכם להיות בטוחים לזכור אותה שכן סביר מאוד שתשכחו אותה.