母の乙女の名前がまだセキュリティの質問として使用されているのはなぜですか？

「セキュリティの質問」は、難しい問題に対する唯一の解決策かもしれません。あなたには顧客があり、彼らはパスワード（および電子メールアクセス）を失っており、両方とも顧客を取り戻したいと考えています。

事務所や公証人で本人確認を行うことは、比例していない場合があります。これは、本当に唯一の完全に安全なソリューションです（安全な政府IDを外観/バイオメトリクスと照合する）。

この種類の検証を使用する銀行（たとえば）は、あらゆる種類の詐欺の蔓延に関するかなり良い統計を持ち、リスクと利点を知っていると思います（たとえば、私の銀行は海外旅行の際に私を特定する必要があると言うことができます。そして、彼らは私に顧客を失い、数万の生涯利益をもたらします-不正なカードの使用を許可し、数万を直接失います-しかし、彼らはフラグの付いたトランザクションの5％だけが実際に不正であることを知っています）。

無気力および/または慣性

さらに真剣に機関はこの情報が数十年の間本質的に秘密であることに依存していた。大量に公表されたデータ侵害の時代はごく最近です。

ほとんどの組織は、変化への対応が遅いです。

単純な

誤った仮定。

「複雑な」パスワード要件と同様に、セキュリティの質問は、いわゆるベストプラクティスに基づいていますが、実際にはそうではありません。口頭の伝統のように、これらの慣行の多くは、ある警備員から次の警備員に引き継がれ、めったに質問されることはありません（質問されるたびに、彼らはしばしば偽物であることが判明します）。

セキュリティの質問は、これらの問題の1つです。誰かが合理的なアイデアを思いついて、すぐにそのような質問のかなり標準的なリストが進化し、それ以来誰もが質問せずにそこから基本的にコピーしてきました。

つまり、そうです。これとほぼすべての「セキュリティの質問」は危険であり、通常、弱いパスワード（たとえば、上位20のリストにないもの）よりもはるかにはるかに簡単に理解できます。

残念ながら、セキュリティよりも使いやすさ

銀行は安全を望んでいますが、使いやすさが必須である顧客に直面しています。

この顧客は私たちの仲間から作られていません。 「グブミント」を恐れる人、変更を理解してそれに抵抗する高齢者、このシステムを学ぶのに何年もかかり、そして言うまでもなく別のスキームを処理できないだけの精神障害者も含まれますスタッフメンバー例不動産または障害者の代理権を代行する者。何層ものアクセスが必要な場合を除き、考案したシステムはすべて、それらすべての人々がアクセスできる必要があります。最も一般的な分母で立ち往生している、または最も遅い船の速度で輸送している。

セキュリティを超えるお金：責任のシフト

銀行システムはtrustに基づいて構築されており、誰もが認めるよりもはるかに優れています。 クマを追い越す必要のない非常にアクティブなセキュリティスタッフ が詐欺を封じ込めています。銀行のセキュリティがちょうど良い攻撃者がお金を稼ぐためのいくつかのより簡単な手段に切り替えるほど十分であれば、銀行が勝ちます。銀行を攻撃していたであろうその犯罪者は、代わりにIRSエージェントであると脅し、退職者を自発的にウェスタンユニオンに救済させます。その退職者は銀行に戻って彼らのお金を要求することができないので、銀行は明白です。

このタイプの「負債シフト」は銀行戦略の大きな部分です。彼らがすることは何でも銀行から責任を転嫁しようとしている。彼らはより強いシステムを設置する意欲がなく、失敗した場合、銀行により大きな責任を負わせます。

「セキュリティの質問」は、一般的に信じられないほど愚かな考えです。

パスワードを作成するときは常に、ハッカーがアカウントに侵入しようとするため、高校に通った場所や好きな色、運転している車など、パスワードに個人情報を使用しないようにしてください。これらのものを発見または推測できる可能性があります。代わりに、意味のない文字と数字の文字列を使用する必要があります。これは、誰もが推測できないようにする必要があります。

しかし...意味のない文字と数字の文字列は覚えにくいことを理解しています。そこで、代替パスワードとして効果的に機能するセキュリティの質問を作成しましょう。これらの質問には、高校に通った場所や好きな色、車を運転する車など、覚えやすいものを使用します。ハッカーはこの種の個人情報をパスワードで推測しようとする可能性がありますが、100万年後にはハッカーがセキュリティの質問への答えを推測しようとすることは決してありません。

少なくともパスワードに個人情報を使用した場合、ハッカーは高校を使用したのか、好きな色を使用したのか、車のメーカーを使用したのかを知りません。しかし、セキュリティの質問で、それが何であるかを彼に伝えます。

誰かがあなたを知っている場合、多くのセキュリティの質問は簡単に見つけたり推測したりできます。多分あなたは別の都市からここに引っ越しましたが、あなたが現在住んでいる場所で育ったかなりのチャンスがあるので、その地域の高校がヒットする可能性はかなり高いと思います。彼はあなたが運転しているモデルカーを知っているかもしれません。そうでない場合、多くの異なる車が作るすべてがありません。あなたが好きな色を人々に尋ねると、ほとんどの人はダースほどの名前をつけます。 （とにかく、ほとんどの男性はとにかく。女性は男性よりもはるかに多くの色の名前を知っている傾向があります。）

最近作成した1つのシステムでは、セキュリティの質問がかなり少ない可能性のあるものに限定され、それぞれにドロップダウンが提供されました。だから、ハッカーに言ってください、ここに誰かが選ぶことが許された20の可能なパスワードがあります！私が6文字または7文字を入力しただけで数十億の可能性しかなく、ハッカーがブルートフォース攻撃でパスワードを取得する可能性があるため、少なくとも8文字のパスワードを選択させるシステムを見てきました。しかし、それでは、20の選択肢をわかりやすくリストした代替パスワードを用意しましょう。これにより、ハッカーは大文字やつづりの間違いによってつまずくことを心配する必要がなくなります。

答えは同じです：現実の生活で単純なロックを使用するのはなぜですか？.

ユーザーに自分のセキュリティレベルを選択させることは常に良いことです。

核爆弾を発射するためのパスワードは母親の旧姓では回復できなかったに違いない。しかし、一般的なユーザーは2〜3個、おそらく10個の本当に重要なアカウントを持っています。そして他の何百ものアカウント。例えば。電子オンラインショップのアカウント。私は誰かがそれをハッキングしても2011年に購入したものを知っているかどうか本当に気にしません。私が一度いくつかのアドバイスを求めた1つのDIYフォーラムのアカウントは気にしません。

そのようなアカウントの多くでは、人々は「単純なロック」を必要とします。シンプルなパスワード（「123456」など）、頻繁に変更する必要がなく、簡単に回復できます。セキュリティよりも使いやすさ。ユーザーがセキュリティよりも使いやすさを望んでいる場合、それは「悲しいこと」ではありません。

秘密の質問の目的は、長期的な有効性です。パスワードを忘れた/紛失した場合は、覚えておく必要があります。だからこそ、簡単に失うことができない固有の情報はうまく適合しません。これは、質問の最初の仮定が適合しないことを意味します。

入手できる可能性のある2番目の部分、またはすでに一般に知られている部分については、次のとおりです。a）そのようなセキュリティの質問は通常（正しく行われている場合）オプションですが、必ずしも必要ではありません。それぞれが自分のコンテキストでどれだけよく知られているか（特に、セキュリティの質問に答える必要がある段階で攻撃者が自分の通常の名前を知っているかどうか）を決定するのはユーザーの責任です。
b）正しく実装されています。セキュリティの質問は、多方向認証の一部にすぎません。パスワードよりも簡単に解読できるため、アカウントの登録に使用したメールアドレスにアクセスできる可能性があります。と。

したがって、利便性から乙女の質問を保護するためのスペクトルは、ユーザーにとってより便利な側面にあるかもしれませんが、必ずしも悪い選択とは限りません。私の好きな映画、ペットの名前などは、どれも最強の秘密ではありません。

B）と同様に、Paypalはこのアプローチを使用して、パスワードをリセットしようとするときに多方向認証アプローチを使用します。そのプロセスでは、この種の複数のセキュリティの質問に対する回答を提供する必要があります。さらに、あなたのメールアドレスにアクセスできる必要があります。または、登録済みの電話番号に電話をかけ、取得したコードを2番目の認証方法として使用することもできます。これは、さまざまな手段の一部です。目的は、利便性とセキュリティの妥協点を提供することです。