社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

商业

密码保护问题,一个大写的鸡肋

潘姜汐熹 2015-12-17 15:30:16

防不了黑客,找不回密码。

这是一份来自 Google Online Security Blog 的报告,他们说,密码保护问题名不副实,这些问题要么安全但容易忘,要么好记但容易被破解,怎么说都起不到保护密码的作用。

安全研究人员 Elie Bursztein 和 Ilan Caron 分析了 Google 用户的数百万账户恢复请求所涉及的密保问题和答案,结果表明,英语国家中 40%的人面对密保问题大脑一片空白,想不起当初自己设置的答案是什么。

安全系数越高的问题越能防止你自己破解自己的密码,“你的第一个手机号是多少”回答对的概率是一半多一点,而能想起来自己的图书馆卡号或者是初中学号的概率就只有五分之一。

对于中国人来说,密保难住自己的概率只增不减,因为你即使你记得答案,也可能想不起正确的填写格式,比如“你任职的第一家公司叫什么?”到底填了中文英文全名还是缩写,以及你的狗到底叫 99 还是久久还是 jiu jiu 还是九十九。

而简单的问题又很容易被盗号的人猜出来。如果他们猜一次,有 19.7% 的概率猜到英语国家用户最喜欢的食物(多半是批萨);猜十次,就有近 24% 的概率猜到穆斯林朋友第一位老师的名字,他们的名字都是根据古兰经取的,数量有限。

还有一些网站比较傻,会使用那些答案局限在很小范围内的密保问题,比如“你最爱的超级英雄是谁”,一方面超级英雄就那么些,另一方面,即使你别出心裁,盗号者也可能从社交网络上发现其实你爱的是黑猫警长。

千万不要编些假答案,报告说有 37% 的人自以为瞎胡答就可以避免被别人猜出来,结果要么是自己也忘记了,要么是想象力有限跟别人撞答案,结果大家的出生地都是医院或者垃圾桶,反而更容易猜中了。

现在的网站一般都是采用 2 到 3 个组合密保问题,一定程度上可以降低被破解的概率,但同样也会增加我们找回密码的难度。

总之,Google 建议你最好还是开通邮箱或手机的双重验证。别以为把密保问题的答案截图存下来就有用,你以为到用的时候找得着吗?要是有用你把密码存存好,还用密保干嘛。

Google Online Security Blog 经常发布基于 Google 数据的网络安全报告,你可以在这里找到更多

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。