Снижение безопасности через увеличение безопасности. Проблемы контрольных вопросов

Задайте контрольный вопрос - именно так весело меня встретило открытое приложение банка Тинькофф. Но мне было не до веселья. Я стоял в общественном месте и мне нужно было срочно провести банковскую операцию. Окно не имело кнопок закрытия, выхода, отмены, более позднего уведомления и другого. Только проход по процедуре задания контрольного вопроса. Пришло осознание того, что все сроки срочности проведения банковской операции пошли Тинькоффу под хвост. И я пустился в рассуждения от внезапно появившейся кучи свободного времени. И пусть весь мир подождёт!

Какой контрольный вопрос задать?

Фамилию жены? Кличку кота? Номер автомобиля? Каждый сервис, на который я когда-либо заходил, повышает безопасность через дополнительные контрольные вопросы. Google, Яндекс, Mail.Ru, игровые сервисы, чаты, госпорталы, личные кабинеты сайтов и др. требуют от меня введения контрольных вопросов. Если собрать наиболее часто встречающиеся примеры контрольных вопросов, то всё сведётся к весьма ограниченному списку. Причем не только к ограниченному списку вопросов, но и к такому же ограниченному списку ответов, который может дать один человек. Да, на один и тот же вопрос о номере авто каждый человек даст достаточно уникальный ответ, что приведёт к улучшению ситуации с перебором паролей. Но усугубит ситуацию с перебором сервисов с заранее известным ответом на контрольный вопрос конкретного человека (аккаунта, логина).

Я создаю уникальный ответ на вопрос. Как я это делаю? Генератором случайных чисел. А точнее я генерирую всегда уникальный пароль, состоящий из не менее 15 букв и цифр. Таким образом я получаю действительно уникальный ответ на один и тот же вопрос, причем уникальность ответа уникальна в пределах каждого сервиса.

Это порождает две проблемы:

  1. Мне нужно иметь бумажку, на которой написан сервис, контрольный вопрос и контрольный ответ для всех сервисов, где я зарегистрирован
  2. Находясь вдали от такой бумажки, т.к. я не ношу её с собой, при спонтанной проверке моей личности ресурсом, мне могут отказать в обслуживании сервисом с почти 99% вероятностью

Как хранят пароли большинство людей?

Большинство людей хранят важные (очень важные) пароли в голове. Меньшее количество людей хранят пароли на бумажке или специальном сервисе (типа запароленное приложение на смартфоне или ПК). Есть ещё офисные работники, к которым предъявляется требование менять периодически пароли, и офисные работники хранят пароль на стикере где попало (под клавиатурой, на мышке, у монитора, в столе и т.д., и т.п).

Человек и проблема пароля

Чем больше у нас сервисов, тем больше у нас паролей.

Проснулся человек и решил глянуть баланс и погоду на мобильном, включил и... введи пин-код (пароль). Посмотреть баланс - введи пароль. Зашёл в магазин - пароль от карты. Кто-то написал в чат - пароль от смартфона или мобильного, плюс пароль от сайта.

Паролей на столько много, что человек, стремясь к состоянию покоя, начинает использовать один и тот же пароль везде для всех сервисов. Таким образом создав сервис или взломав уже имеющийся сервис, злоумышленник получит доступ ко всем вашим сервисам.

11
1 комментарий

Все пути рано или поздно приводят к некому SSO.