Hlavní navigace

Otázky pro získání zapomenutého hesla? Fatálně nebezpečná záležitost

Daniel Dočekal 26. 5. 2015

Víme to roky, přesto stále existují a pravidelně slouží k hacknutí účtů. Pomůže studie od Googlu? Začnou se Seznam.cz či Apple chovat zodpovědně?

Kontrolní nebo bezpečnostní otázky. Mají sloužit k tomu, že v případě ztráty či odcizení hesla máte mít možnost je znovu získat. Jenže většinou slouží právě k tomu, že vám někdo účet ukradne. Odpovědět na dotazy, které dodnes můžete najít třeba mezi kontrolními otázkami na Seznam.cz, totiž není pro útočníka vůbec složité.

Můj nejoblíbenější film/seriál? Nápověda: Odpověď se dá určitě najít na vašich sociálních sítích, v IMDB, FBD, CSFD nebo se vás prostě někdo zeptá a vy důvěřivě odpovíte. Totéž platí pro Nejoblíbenější herec/herečka? nebo Vysněná destinace pro dovolenou? a Nejoblíbenější kniha/spisovatel? 

A co teprve taková otázka jako Rodné příjmení matky? Ta je dnes vlastně jednou z nejjednodušších bezpečnostních otázek. Odpověď zpravidla zjistíte na sociálních sítích.

Málokdo z běžných uživatelů internetu tuší, že na podobně hloupé otázky musí odpovídat cokoli, jenom ne pravdu. Ideální odpovědí je něco zcela nesmyslného, tedy třeba to, že se matka za svobodna jmenovala třeba „hchkrhtnová“. Jenže, popravdě, ono to stejně příliš nepomůže. Odpovědi na kontrolní otázky si totiž stejně musíte někde schovat, protože i když odpovíte správně, za pár týdnů či měsíců si vůbec nebudete jisti tím, co jste tam napsali, ani jak jste to tam napsali.

Trochu lepší varianta kontrolních otázek je ta, kde uvádíte nejenom odpovědi, ale otázky si definujete sami. Tato metoda sice vyžaduje kreativitu k navržení dostatečně šílených otázek a ještě šílenějších odpovědí, ale trochu to případné hacknutí účtu znesnadňuje. Trochu.

Apple ID a tamní bezpečnostní otázky? Pamatujete si je? Já ani omylem a to jsou povinné.

Apple ID a tamní bezpečnostní otázky? Pamatujete si je? Já ani omylem, a to jsou povinné.

Google zveřejnil studii Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google založenou na milionech interakcí uživatelů s bezpečnostními otázkami a je v ní poměrně jasný závěr:

Bezpečnostní otázky jsou v bezpečnosti riziko

Možná teď, když už to potvrzuje i studie, pochopí firmy vynucující vyplňování bezpečnostních otázek (například Apple), či používající předem definovaných a k zoufání průhledných otázek (Seznam.cz), že je čas začít se chovat zodpovědně.

Proč jsou bezpečností otázky rizikem? Podíváte-li se do výše zmíněné studie, tak těch argumentů je několik, zejména:

  1. Nedokážeme si zapamatovat, jak jsme vlastně odpověděli
  2. Jsme nuceni lhát, čímž odpověď zapomínáme ještě snáze
  3. „Naše oblíbené“ věci se časem mění
  4. To, co si opravdu dobře pamatujeme, je opravdu snadno zjistitelné

Google například uvádí, že bezpečností otázka, kterou si velmi dobře zapamatujeme, je město, kde jsme se narodili. Jenže tato informace je zároveň jednou z nejsnáze odhalitelných. Běžně ji máme vyplněnou například na Facebooku. Studie navíc uvádí i to, že třeba u obyvatel Koreje stačí odpověď zkusit desetkrát a máte 39% šanci na uhodnutí. Prostě proto, že v Koreji není dostatek velkých měst.

Z opačného konce: nejhůře zapamatovatelná otázka zní „Číslo letu, se kterým nejčastěji létáte“. Nejenom, že si to skoro nikdo nepamatuje, ale hlavně, jen málo lidí létá tak často, aby vůbec tento údaj dával smysl.

Shrnuto a podtrženo, čím bezpečnější je otázka a odpověď, tím je pravděpodobnější, že ji zapomenete. A opačně, ty nejlépe zapamatovatelné jsou nejméně bezpečné.

Co používat pro získání ztraceného hesla?

Pro získání ztraceného hesla je daleko bezpečnější používat e-mail. Ať už přímo ten, ke kterému je založen účet (prosté poslání odkazu na nové nastavení hesla, samozřejmě nepřipadá v úvahu, aby vám služba poslala vaše původní heslo), nebo náhradní pro případ hacku. Nebo, což je možné až v posledních letech, mobilní telefon – minimálně v podobě SMS.

Studie samotná zmiňuje i způsob obnovy hesla, který má v oblibě Facebook (při ověření identity uživatele při podezřelém přihlášení). Jde o ukazování obrázků a pokud jste tomu někdy byli podrobeni, tak nejspíš dojdete k témuž závěru, jako autoři studie. Aby to fungovalo, museli byste si to předem natrénovat. Studie ostatně zmiňuje i další mechanismus, který používá právě Facebook – „důvěryhodní“ přátelé, kteří vám umožní získat heslo zpět. A říká, že lidé tento způsob dokázali používat pouze v 71 % případů a v deseti procentech vede k úspěchu případného hackera.

Jinými slovy, žádná metoda není perfektní (získání přes SMS selže, pokud nemáte k dispozici telefon, například), ale je zde jeden důležitý závěr. Pokud se někde spoléhají pouze na bezpečností otázky, tak dělají zásadní chybu a chovají se velmi nezodpovědně. A tam, kde je vynucují jako povinné, se chovají ještě nezodpovědněji.

Našli jste v článku chybu?

26. 5. 2015 18:43

Jenda (neregistrovaný)

Kalousek je, plácnu, třeba 30. nejčastější příjmení -> je to podobné jako kdyby sis nastavil 30. nejčastější heslo (což bude něco jako qwerty123). To ti taky přijde že zvyšuje bezpečnost?

26. 5. 2015 14:54

Jo, to měl kdysi nějaký freemail, bavil jsem se tím, že jsem zkoušel náhodné maily a jaké mají tyto otázky... A že tam byly k vidění věci, vítězem se stalo "Heslo je konvalinka, sklerotiku."... a fakt bylo. Nejen z tohoto, ale i z jiných mi přišlo, že někteří uživatelé tyto otázky chápali jako soukromou informaci, obdobu lístečku, co nosí v peněžence.

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Dva doklady netřeba, dejte to na účtenku k EET

Dva doklady netřeba, dejte to na účtenku k EET

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo