@ 2015.05.22 , 18:00
45

为什么说密保问题就是渣?

[-]

Google的一份最新研究告诉人们,通过设置私密问题允许人们获取自己的密码,这个点子烂透了。

Google发布的一份白皮书《秘密、谎言和账号恢复:在Google学习关于使用私人信息问题的知识》深入挖掘了数百万次用户和各种找回密码的问题之间互动的数据,白皮书得出结论,密码找回问题总体上不但没什么用,而且存在安全风险。

密码找回问题的设计思路很符合逻辑:你忘了密码,如何让你登录?那就通过回答一些特定问题验证用户的身份。

这么做的问题在哪里?因为我们大多数时候记不得答案是什么,或者说为了提高这套机制的安全水平,有的人会故意写错的信息。

研究中也提到了其他的问题:比如说我们喜欢吃什么东西其实是随着时间变化的,设定密码找回问题时填写的食物,很可能到了需要找回密码的那天已经变了。设定密码后一个月内,人能够回忆起密码找回问题的概率是74%,但是3个月后,记起自己最喜欢吃什么的概率已经下降到了55%。

最容易记住的问题是什么?Google的研究人员告诉我们,是出生的城市。因为这个问题的回答总体成功率为80.1%。其次是自己父亲的中间名。

但是研究人员也指出——这些问题从根本上说就是不安全的——因为第三方只要知道你的姓名,很可能也能找出你的个人信息。

最难回忆起的问题是“你的常旅号是多少?”(谁他妈的会去记常旅号?)

这么说吧,安全程度越高的问题越难回忆起来。

还有一组统计数据让我们看到猜测别人的答案有多容易。比如说,有39%的概率能通过10次尝试试出韩语人士的出生城市,反正韩国就那几个大城市。

你有4%的机会只试一次就成功猜出西班牙语人士的父亲的中间名。对数百万私密问题和回答的审阅最后有什么结论?有两点。

首先,作为人类,虽然我们自己认为自己很聪明,但实际上人类蠢的不可救药。
其次,最好是通过短信或者电子邮箱找回密码。

研究总结说:“秘密问题通过和其他暗号组合使用还是有用的,但是不应该单独使用,最好用更可靠的替代性方法。”

本文译自 The Register,由译者 王大发财 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

4.6
赞一个 (9)

TOTAL COMMENTS: 45+1

  1. 王新宇咯
    @2 years ago
    2801116

    腾讯表示不服

    [60] XX [3] 回复 [0]
  2. 乐乐
    @2 years ago
    2801118

    腾讯躺枪

  3. 收皮王
    @2 years ago
    2801119

    如果密保问题可以设置最喜欢的体位

    [10] XX [8] 回复 [0]
  4. Keyman君
    @2 years ago
    2801120

    密保问题随账户密码保存在keepass数据库里,数据库加5万次aes256加密,加密后的数据库扔同步盘里,然后只需要记得一个数据库密码就可以了。所以我现在新建的帐号密保问题都是乱打的,能猜出来就出鬼了→_→

    [35] XX [12] 回复 [0]
  5. 夜光虫
    @2 years ago
    2801122

    曾经把自己的童年小名作为密保问题。 非常自信的以为自己绝对不会忘记了。

    半年后需要重置密码的时候,把自己难以启齿的小名填进去。
    结果不对。
    不。对。

    我就特别疑惑我当时到底填了什么答案?。结果忘的渣都没有了, 直到现在都没能想起来。

    [205] XX [2] 回复 [0]
  6. 2801128

    这确实很蠢-.-

  7. 发财是我的
    @2 years ago
    2801132

    估计很多人的爸爸名字的答案是李嘉诚。。。。。。。。。。。

    [15] XX [6] 回复 [0]
  8. 大死逼
    @2 years ago
    2801133

    自从用了密保问题,再没一次能填对答案。

    [108] XX [0] 回复 [0]
  9. 2801135

    童年小名弱爆了好么 ,曾经写了初恋是谁,结果蒙了十几次都没有蒙出来当初暗恋的到底是哪个妹子!!!!

    [137] XX [3] 回复 [0]
  10. 称呼是啥
    @2 years ago
    2801139

    以前企鹅号选了出生地作为密保问题…后来需要改密码的时候发现我无论用什么样的精确度和说法和排列组合答案都不对…不得不给几个朋友打电话来叫他们帮我申诉…

    [14] XX [0] 回复 [0]
  11. 2801140

    谁会真的回答啊,我都是有规律填写 ,写真的被有心人破了怎么办

  12. Amaryllis
    @2 years ago
    2801146

    随便选一个问题, 生成随机答案, 然后用 KeePass 保存下来…

  13. 2801149

    哎~
    以前qq密保问题被我妈利用盗了我的qq号

    [94] XX [0] 回复 [0]
  14. 2801153

    我从来没有记起来过我写过的密保答案,虽然我写的时候就知道这是个渣

  15. 数码之光
    @2 years ago
    2801156

    国外网站很多问题都是例如 What’s your mother’s maiden name? / What’s your grandmother’s middle name? 这个谁知道啊,而且中国人也没法填。还有一些例如 What’s your favorite XXX? / What’s your favorite XXX in your childhood? 而且这个 XXX 通常是我完全不感兴趣的东西,这个叫我怎么填?即使有的话也不能确定一个唯一的 favorite 的,就像文章所说的可能会随时间变化的。所以经常碰到没有一项能填的情况。

  16. 开你妹的玩笑
    @2 years ago
    2801167

    原本我只用记密码,有密保就要记多无谓的事,同时也向泄露更多的个人信息……

  17. 新世界
    @2 years ago
    2801181

    愚蠢的人类,这是喵星人的文风啊。

  18. ailscn
    @2 years ago
    2801187

    想不起来当初添的是什么

  19. 2801189

    密保对自己的保密效果最好

    [14] XX [0] 回复 [0]
  20. 2801190

    你的初中老师是谁?
    当初我记得填的是王八蛋。
    但是为什么会不对。

  21. 黑夜里的网子
    @2 years ago
    2801194

    我的密保问题不管是啥,答案都是统一的。
    我幼年时家里的电话,还有当时俩小伙伴的电话。
    总共仨。
    没忘过。

  22. 2801195

    很多论坛/网站需要下载资料的时候,都提醒你先注册个账号。偏偏这些网站都是一次性使用,多年不会登陆,注册账号纯粹浪费大家时间。

    [26] XX [0] 回复 [0]
  23. 六子六子
    @2 years ago
    2801197

    总是感觉自己用不上密保,经常把密保设成初恋是谁,结果有时真的要用密保,问题是我根本就没初恋,哪记得当时填的时候在yy谁

  24. 2801202

    @夜光虫: 要不试试拼音/拼音首字母/拼音大写/拼音首字母大写/谐音字 也许就能,经常忘密码星人每次用问题找答案都是一次极大挑战……另外其实这种还好,我记得貌似是战网还是什么的(也许不是,具体想不起来)居然问题也要自己输入,没错,不是选择,而是输入,不把问题写得分毫不差,就算你记得答案也没卵用……

  25. 2801207

    我的密保问题一般都是:

    大学名称填小学,小学名称填大学,外加宠物名字,是我以前的狗的名字。

    那条狗我养了5年多,死于我高考那年的儿童节,没错,就是我高考前几天。

    虽然我非常喜欢小动物,但从那以后我再没养过宠物。

  26. 分享之源
    @2 years ago
    2801220

    这种密保答案我一般填写:用注册机生成的软件的序列号。。。

  27. 2801221

    @Toto: 宠物名字写的是喜欢过的妹子的名字缩写……跟你一对比感觉自己好丧尸……

  28. mengcao
    @2 years ago
    2801230

    以前没限制的时候密码是 123456,
    现在有了限制字母加数字密码是 mima123456
    反正没钱

  29. 路人A
    @2 years ago
    2801291

    最初注册Pixiv,注册完了就登,密码不对,试了十几次,还是不对。重新注册,还是一样,就放弃了。
    后来才知道是被墙了……

    [19] XX [2] 回复 [0]
  30. 离离
    @2 years ago
    2801309

    @kyu: 那的确可以算宠物。

  31. 夏木
    @2 years ago
    2801354

    现在习惯了 一旦密码不对 就立刻点密码找回

  32. 2801391

    蜜宝问题是:我母亲的姓名是什么?吗的总显示答案错误!我是不是太不肖了?

  33. 2801402

    我的qq号 魔兽号 提示问题一直是 小学初中高中班主任名字 从来没出过问题啊 我也没忘记..

  34. 2801554

    无论什么问题,我的答案都是goodmorning, 如果有几条的问题的话,,就把单词拆开,倒叙什么的,

  35. 喵星人
    @2 years ago
    2801582

    密码提示问题就是
    要么简单的是人就能猜得出来
    要么复杂的自己都记不住,就是酱紫

  36. 2801612

    感觉这一点腾讯做的不错,好友帮助申诉之类的

  37. 炒蛋
    @2 years ago
    2801623

    想起我用QQ10年申诉了20次左右把= = ,不是被盗就是忘记密码,忘记密保,申诉过个几个月在申诉。

  38. 炒蛋
    @2 years ago
    2801627

    @mengcao: 弱爆了,我的密码是wqnmlgb123以前还是类似于这样WqNmLgB123的

  39. rosses
    @2 years ago
    2801780

    密保问题真心坑爹。一般人忘记答案和问题的速度比忘记密码快多了。

  40. 九耳
    @2 years ago
    2801789

    我填忘了/忘记了
    然后到用的时候就忘记是当初是填的忘了还是忘记了…
    我觉得网银才叫蛋疼,账户一个密码,网银登录一个密码,支付的时候还得一个密码,要是带key啊盾啊的,还得一个密码,而且各个密码的限制还不一样,这个只能数字,那个得数字字母都要有,这个6-8位,那个8-12位,最后密码全记乱了,但是你还不能一个个地试,要不然得锁,锁了之后什么密码都给你提示不正确..

  41. 2802135

    暴雪的平台注册就很麻烦

  42. 2803391

    Google还是没想明白
    其实密码都不应该存在
    更别说密保
    整个账户-密码体系 都是错的

  43. Overmind
    @2 years ago
    2803596

    很简单,我都是选第n个问题,然后统一的回答,跟问题是什么一点关系都没有

  44. 节操救星
    @2 years ago
    2809653

    常旅号是什么鬼? 每次设置密保问题都会信心满满的,我怎么可能会忘记这个问题的答案。结果每次需要的时候都会错。。

  45. 猪哥
    @2 years ago
    2847527

    可惜密保问题没有能选一生最后悔的事

发表评论


24H最赞