Hlavní navigace

Otázky pro získání zapomenutého hesla? Fatálně nebezpečná záležitost

Daniel Dočekal 26. 5. 2015

Víme to roky, přesto stále existují a pravidelně slouží k hacknutí účtů. Pomůže studie od Googlu? Začnou se Seznam.cz či Apple chovat zodpovědně?

Kontrolní nebo bezpečnostní otázky. Mají sloužit k tomu, že v případě ztráty či odcizení hesla máte mít možnost je znovu získat. Jenže většinou slouží právě k tomu, že vám někdo účet ukradne. Odpovědět na dotazy, které dodnes můžete najít třeba mezi kontrolními otázkami na Seznam.cz, totiž není pro útočníka vůbec složité.

Můj nejoblíbenější film/seriál? Nápověda: Odpověď se dá určitě najít na vašich sociálních sítích, v IMDB, FBD, CSFD nebo se vás prostě někdo zeptá a vy důvěřivě odpovíte. Totéž platí pro Nejoblíbenější herec/herečka? nebo Vysněná destinace pro dovolenou? a Nejoblíbenější kniha/spisovatel? 

A co teprve taková otázka jako Rodné příjmení matky? Ta je dnes vlastně jednou z nejjednodušších bezpečnostních otázek. Odpověď zpravidla zjistíte na sociálních sítích.

Málokdo z běžných uživatelů internetu tuší, že na podobně hloupé otázky musí odpovídat cokoli, jenom ne pravdu. Ideální odpovědí je něco zcela nesmyslného, tedy třeba to, že se matka za svobodna jmenovala třeba „hchkrhtnová“. Jenže, popravdě, ono to stejně příliš nepomůže. Odpovědi na kontrolní otázky si totiž stejně musíte někde schovat, protože i když odpovíte správně, za pár týdnů či měsíců si vůbec nebudete jisti tím, co jste tam napsali, ani jak jste to tam napsali.

Trochu lepší varianta kontrolních otázek je ta, kde uvádíte nejenom odpovědi, ale otázky si definujete sami. Tato metoda sice vyžaduje kreativitu k navržení dostatečně šílených otázek a ještě šílenějších odpovědí, ale trochu to případné hacknutí účtu znesnadňuje. Trochu.

Apple ID a tamní bezpečnostní otázky? Pamatujete si je? Já ani omylem a to jsou povinné.

Apple ID a tamní bezpečnostní otázky? Pamatujete si je? Já ani omylem, a to jsou povinné.

Google zveřejnil studii Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google založenou na milionech interakcí uživatelů s bezpečnostními otázkami a je v ní poměrně jasný závěr:

Bezpečnostní otázky jsou v bezpečnosti riziko

Možná teď, když už to potvrzuje i studie, pochopí firmy vynucující vyplňování bezpečnostních otázek (například Apple), či používající předem definovaných a k zoufání průhledných otázek (Seznam.cz), že je čas začít se chovat zodpovědně.

Proč jsou bezpečností otázky rizikem? Podíváte-li se do výše zmíněné studie, tak těch argumentů je několik, zejména:

  1. Nedokážeme si zapamatovat, jak jsme vlastně odpověděli
  2. Jsme nuceni lhát, čímž odpověď zapomínáme ještě snáze
  3. „Naše oblíbené“ věci se časem mění
  4. To, co si opravdu dobře pamatujeme, je opravdu snadno zjistitelné

Google například uvádí, že bezpečností otázka, kterou si velmi dobře zapamatujeme, je město, kde jsme se narodili. Jenže tato informace je zároveň jednou z nejsnáze odhalitelných. Běžně ji máme vyplněnou například na Facebooku. Studie navíc uvádí i to, že třeba u obyvatel Koreje stačí odpověď zkusit desetkrát a máte 39% šanci na uhodnutí. Prostě proto, že v Koreji není dostatek velkých měst.

Z opačného konce: nejhůře zapamatovatelná otázka zní „Číslo letu, se kterým nejčastěji létáte“. Nejenom, že si to skoro nikdo nepamatuje, ale hlavně, jen málo lidí létá tak často, aby vůbec tento údaj dával smysl.

Shrnuto a podtrženo, čím bezpečnější je otázka a odpověď, tím je pravděpodobnější, že ji zapomenete. A opačně, ty nejlépe zapamatovatelné jsou nejméně bezpečné.

Co používat pro získání ztraceného hesla?

Pro získání ztraceného hesla je daleko bezpečnější používat e-mail. Ať už přímo ten, ke kterému je založen účet (prosté poslání odkazu na nové nastavení hesla, samozřejmě nepřipadá v úvahu, aby vám služba poslala vaše původní heslo), nebo náhradní pro případ hacku. Nebo, což je možné až v posledních letech, mobilní telefon – minimálně v podobě SMS.

MIF16

Studie samotná zmiňuje i způsob obnovy hesla, který má v oblibě Facebook (při ověření identity uživatele při podezřelém přihlášení). Jde o ukazování obrázků a pokud jste tomu někdy byli podrobeni, tak nejspíš dojdete k témuž závěru, jako autoři studie. Aby to fungovalo, museli byste si to předem natrénovat. Studie ostatně zmiňuje i další mechanismus, který používá právě Facebook – „důvěryhodní“ přátelé, kteří vám umožní získat heslo zpět. A říká, že lidé tento způsob dokázali používat pouze v 71 % případů a v deseti procentech vede k úspěchu případného hackera.

Jinými slovy, žádná metoda není perfektní (získání přes SMS selže, pokud nemáte k dispozici telefon, například), ale je zde jeden důležitý závěr. Pokud se někde spoléhají pouze na bezpečností otázky, tak dělají zásadní chybu a chovají se velmi nezodpovědně. A tam, kde je vynucují jako povinné, se chovají ještě nezodpovědněji.

Našli jste v článku chybu?
Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Jak důležitá je u firemních počítačů spotřeba?

Jak důležitá je u firemních počítačů spotřeba?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

120na80.cz: Na různou rýmu různá homeopatie

Na různou rýmu různá homeopatie

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin