"Zabudli ste heslo?" Hrozia problémy!

Mnohí z nás pravdepodobne už niekedy zabudli svoje prihlasovacie údaje a aby nestratili svoj účet klikli na známy odkaz "Zabudli ste svoje heslo?", po správnom zadaní mena domáceho miláčika, mena vašej matky za slobodna alebo iných zdanlivo bezpečných kontrolných otázok sa opäť môžete dostať do svojho účtu.

Ale je tu jeden problém, vaše bezpečnostné otázky v súčasnej dobe môže zodpovedať prakticky hocikto. Niektorí ľudia by boli asi nemylo prekvapený, keby zistili ako málo stačí na zodpovedanie identifikačných otázok pri troche tvorivého hľadania. Bezpečnostné otázky na resetovanie hesla su každým dňom čoraz slabším článkom webu. Niekto si asi povie, že útočník pravdepodobne nebude poznať všetky informácie o mne na toľko, aby mohol zodpovedať kontrolné otázky, ibaže ľudia zabúdajú na fakt, že majú tieto údaje roztrúsené kade-tade a je len otázkou času a šikovnosti útočníka, či sa na druhý deň do svojho účtu dostanete. Pekný príklad môže byť najmä medzi mládežou populárny pokec, na ktorom asi nebude veľmi problém zistiť meno psa, výšku, najlepšieho kamaráta, atď. Takto vlastne obeť podstrčí útočníkovi odpovede rovno pred nos.

Celý problém je v tom, že poskytovateľom je jedno, v akom bezpečí sú ich užívatelia (česť výnimkám), hlavne že je tam kontrolná otázka a všetci majú pocit bezpečia... až dokým sa niečo nestane. Bezpečnostná otázka by mala byť tažká pre cudzieho a zároveň ľahká pre majiteľa strateného účtu. Napríklad otázky typu "Máte radi divadlo?". Tieto otázky majú výhodu hlavne v tom, že ich útočník len tažko nájde v nejakej databáze, keďže otázky tohoto typu sa v internetových formuároch takmer nevyskytujú, musí si buď typnúť, poznať obeť na toľko aby ich mohol zodpovedať alebo sa na nich spýtať napríklad cez už spomínaný pokec. Keby takýchto otázok poskytovateľ dal 10 alebo aj 15, percento odcudzených účtov by sa určite znížilo. Ďalším vylepšovákom by mal byť povinný alternatívny email, na ktorý sa vám zašle novo vygenerované heslo, samozrejmosťou je, že záložný email musí mať tiež aspoň priemerné ochranné prvky (O celkovej bezpečnosti našich portálov a ich prístupu k nej asi ani nemusím hovoriť, povedzme, že útočník neovláda iné techniky, za pomoci ktorých by mohol dostať účet pod svoju kontrolu).

Ďalším potenciálnym problémom by mohol byť nájsť kompromis medzi bezpečnosťou a pohodlnosťou. Totiž veľa ľudí aj keď má možnosť si nastaviť väčší počet otázok tak to neurobí, nastaví si jednu a pre ňu najľahšiu. Môj názor je, že treba stále nútiť užívateľov k tomu, aby sa zamysleli nad rizikom, ktoré si týmto spôsobujú a že im nebude veľmi príjemné keď si niekto bude čítať jeho poštu alebo sa vydávať za jeho osobu. Samozrejme, že tieto kritériá treba prispôsobiť portálu, aj keď to z hľadiska bezpečnosti nieje optimálne, dal by som minimálny počet indentifikačných otázok aspon na tých 6-7, nech sa užívateľia učia, že to nie je pre ich otravu, ale pre ich vlastnú bezpečnosť a postupom času keď si tieto fakty uvedomia, budú len radi, že ich poskytovateľ myslí aj na takú vec ako resetovanie hesla.

Samozrejme tieto vylepšenia sú asi ešte pre väčšinu našich portálov v nedohľadne, nakoľko užívateľia nemajú potrebu mať väčšie súkromie a tým pádom poskytovaťeľia nemajú potrebu s tým nič robiť. O tejto téme by sa dalo asi veľa písať. Ja som to len tak trochu načrtol (dufam, že som na nič podstatné nezabudol :-)
Cya!