为什么说密保问题就是渣？

[-]

Google的一份最新研究告诉人们，通过设置私密问题允许人们获取自己的密码，这个点子烂透了。

Google发布的一份白皮书《秘密、谎言和账号恢复：在Google学习关于使用私人信息问题的知识》深入挖掘了数百万次用户和各种找回密码的问题之间互动的数据，白皮书得出结论，密码找回问题总体上不但没什么用，而且存在安全风险。

密码找回问题的设计思路很符合逻辑：你忘了密码，如何让你登录？那就通过回答一些特定问题验证用户的身份。

这么做的问题在哪里？因为我们大多数时候记不得答案是什么，或者说为了提高这套机制的安全水平，有的人会故意写错的信息。

研究中也提到了其他的问题：比如说我们喜欢吃什么东西其实是随着时间变化的，设定密码找回问题时填写的食物，很可能到了需要找回密码的那天已经变了。设定密码后一个月内，人能够回忆起密码找回问题的概率是74%，但是3个月后，记起自己最喜欢吃什么的概率已经下降到了55%。

最容易记住的问题是什么？Google的研究人员告诉我们，是出生的城市。因为这个问题的回答总体成功率为80.1%。其次是自己父亲的中间名。

但是研究人员也指出——这些问题从根本上说就是不安全的——因为第三方只要知道你的姓名，很可能也能找出你的个人信息。

最难回忆起的问题是“你的常旅号是多少？”(谁他妈的会去记常旅号？)

这么说吧，安全程度越高的问题越难回忆起来。

还有一组统计数据让我们看到猜测别人的答案有多容易。比如说，有39%的概率能通过10次尝试试出韩语人士的出生城市，反正韩国就那几个大城市。

你有4%的机会只试一次就成功猜出西班牙语人士的父亲的中间名。对数百万私密问题和回答的审阅最后有什么结论？有两点。

首先，作为人类，虽然我们自己认为自己很聪明，但实际上人类蠢的不可救药。
其次，最好是通过短信或者电子邮箱找回密码。

研究总结说：“秘密问题通过和其他暗号组合使用还是有用的，但是不应该单独使用，最好用更可靠的替代性方法。”

本文译自 The Register，由 王大发财 编辑发布。