825-apple-id-a-tamni-bezpecnostni-otazky

TIP#314: Jak správně zacházet s kontrolními otázkami u online služeb?

Jak správně řešit hesla tu řešíme v Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu? a ve Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí ale trochu je tam opomenuta otázka kontrolních otázek pro obnovení hesla. Což jsou takové ty podivné vědci jako „Jaké jméno měla vaše matka za svobodna“ či „Jaké první auto jste měli„, které zdánlivě mají dopomoci k lepšímu zabezpečení vašeho účtu někde k tomu jak obnovit přístup k účtu pokud zapomenete heslo.

Prosím pěkně, kontrolní otázky jsou jedna z nejvíce nebezpečných věcí, která kdy někoho napadla. Hlavní nebezpečí dnes spočívá v tom, že pokud si tam někdo na otázku „Jaké jméno měla vaše matka za svobodna“ opravdu napíše rodné příjmení matky, tak je velmi jednoduché na něco takového přijít. V tomto případě třeba zkoumáním matrik či dalších zdrojů. Ale dnes je daleko jednodušší něco takového dostat buď sociálním inženýrstvím. Nebo to prostě najít na sociálních profilech dané osoby.

Správné použití kontrolních otázek spočívá jedině v tom, že jako odpovědi si vygenerujete zcela náhodná a nesmyslná hesla, taková, která by mohla být samotným heslem. Velmi dobře k tomu můžete použít správce hesel. Stejně jako u klasických hesel platí, že musí být unikátní, protože pokud dojde k prozrazení vaší oblíbené odpovědi na kontrolní otázku v jednom webu, bude to znamenat zásadní riziko i pro všechny ostatní weby.

TIP: Chcete to mít nějak podložené? Zkuste studii Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google (PDF). Je tam dost podkladů pro to, abyste mohli přestat pochybovat.

2015-11-06 08_26_32-Přihlášení - T-Mobile.cz
T-Mobile nepochopitelně zavedl povinné kontrolní otázky v listopadu 2015. Roky poté co všichni vědí, jak nebezpečné to je.

Takové to řešení na půl cesty, že na konkrétní otázku (třeba ono příjmení matky za svobodna) tam dáte nějaký nesmysl (třeba „co je vám po tom„) je hodně polovičaté, protože nejspíš podobný nesmysl opakovaně použijete na víc místech. A opět máte zaděláno na malér.

Co je ještě horší je, že v řadě případů jsou sice hesla šifrovaná (a provozovatel je tedy nemůže, ale ani nesmí znát) ale u kontrolních otázek se na šifrování zapomíná. Vymlouvat se bude třeba na to, že se vás na kontrolní otázku zeptá na telefonické podpoře. Další cesta do pekel.

Kontrolní otázky bývají většinou předdefinované (dělá to tak Apple, Seznam i řada dalších firem, bohužel) nebo si můžete otázku i odpověď nastavit na vlastní. Ani tato varianta není bezpečnější, je stále stejně problematická. Řada lidí je navíc tak naivní, že si jako otázku dá něco, co napovídá na odpověď.

Nepomáhá ani to, že kontrolních otázek a odpovědí musíte vyplnit více a v případě potřeby je zobrazena náhodně jedna (například ze tří). Stejně to vede k tomu, že si někam musíte odpovědi a otázky zapsat.

Takže, zopakujme si to  –  do kontrolních (bezpečnostních) otázek si vygenerujte zcela náhodné a unikátní odpovědi a pro uložení použijte správce hesel, stejně jako to děláte u klasických hesel. Pamatujte, že kontrolní otázky jsou další zásadní bezpečnostní riziko, které často vede k hacknutí účtu.

TIP: Jak často si mám měnit heslo? Kdy je nutné si heslo změnit a kdy je lepší to nedělat vám vysvětlí vše podstatné o změnách hesla.