为什麽我们不再使用安全提示问题?

07.02.2020  - 作者  在 安全性

您母亲的姓氏是什麽?您最喜欢的食物是什麽?多年来,每当 Gandi 用户忘记密码,而用户又曾经在其帐户中启用 “安全提示问题” 的功能时,用户就必须回答那些 “安全提示问题” 以重设其密码。

然而,此功能将不再使用。在我们的新介面中,我们不再使用安全提示问题。

那会怎样吗?您的帐户变得比较不安全吗?为什麽我们要停用安全提示问题呢?

以认知为基础的身份验证

安全提示问题或是 “基于您的认知所产生的身份验证 (KBA)” 的形式。也就是说,此验证身份的信息是基于 “只有” 要被验证身份的那个人才知道的资讯。

KBA – 特别像是您母亲的姓氏,长久以来一直是银行业的主要安全提示问题。
逻辑是出纳员可以用诈骗者不太可能知道的问题去质问要提款的可疑人士。

以国外为例,在有脸书出现之前(更不用说女性必须从父性,或是婚后必须要换成夫姓的那个年代),外人很少能够得知女性那边的家人姓氏。而且,通常可能是诈骗者的人都不会预料到这种问题。

KBA 因而成为金融业的标准操作流程,它被使用来验证要进行各种交易的人的身份,并且随着银行业和世界其它地方的使用,此安全问题慢慢地开始被广泛使用,
当所有人开始使用 KBA 后,很快地每个人都对母亲的娘家姓氏这个问题非常熟悉。

KBA 最后甚至被美国国家标准与技术研究院 (NIST) 等组织建议使用,这些组织通常被视为主要的数位安全标准的权威。

因此,在把银行业的安全性问题应用到重设密码的问题上时并没有那麽大的差异。

备用密码

传统上,当您忘记密码时,您主要的方式是联繫客服团队,然后客服团队会透过电话或电子邮件的方式去验证您的身份,然后手动重置您的密码。

您必须等待客服团队的上班时间、然后等待他们的回复,这个过程不只使试图想登入帐号的用户感到焦虑和沮丧,同时,验证用户的身份也会消耗客服人员许多时间上的成本。.

这也可能是为什麽安全提示问题在今日成为如此热门的取回密码的功能之一,而且此功能还得到 NIST 等组织的强力推荐,这也是为什麽此功能成为 Gandi 密码回復系统的额外选项之一。

然后,安全提示问题就被用来作为取回密码的方式之一,变成是一种 “备用密码” 的概念。如果您想不起来您的密码,那麽您可能就只要记得您最喜欢的食物就可以取回您的密码。

这样您就可以看到问题出在哪了。

谁不喜欢披萨?

如果您把安全提示问题是作为您的备用密码,那麽设定一组真正密码的用意在哪呢?将安全提示问题作为备用密码,实际上只是降低您的帐户的安全性。毕竟,“母亲的娘家姓氏” 这类的事实并不是针对攻击事件所设计的最高机密的信息。

举 Paris Hilton 为例,她的手机在 2005 年遭骇客破解,而当时被破解的安全提示问题是 “您最喜欢的宠物叫什麽名字?”(Hilton 的吉娃娃 Tinkerbell,就是当时她在社群媒体上被广受喜爱的主要内容 )。

但是即使您没有公开的角色,或者您不使用 “母亲的娘家姓氏” 等容易找到答案的问题,但如果您选择 “最喜欢的食物”,也不表示您会更安全。

在 2015 年时,Google 公佈一项安全提示问题的研究,他们發现在 “您最喜欢的食物是什麽?” 的问题中,有 20% 的答案是 “pizza”。

错误的安全感

那什麽样的问题比较难呢?Google 發现 40% 的美国用户不记得他们安全提示问题的答案,有 9% 的用户是设定 “非常困难” 的问题,像是借书证号码,这意味着这些用户最终都得与客服团队联繫以取得解决办法。

Gandi 的密码回復系统从未有过这样的问题,因为我们不会将安全提示问题作为备份密码。我们只会在猜对答案后發送密码重置邮件到帐户所有权人的电子信箱中,而不会向其提供帐户的访问权限。

当使用者无法记得他们安全提示问题的答案时,他们就会猜答案,然后最后联繫客服团队。

那麽所有问题总结下来的结论是,安全提示问题根本无法提供任何额外的安全保护。充其量,它们给了您错误的安全感。 在最坏的情况下,他们会使得本来的流程更加繁複。

为什麽我们不再使用安全提示问题

基于上述所有理由,安全提示问题不再被 NIST 或如 CERT-FR 之类的权威机构推荐,因此当 Gandi 在建构新的介面时,也选择不再使用这种安全机制。

多重认证

如果安全提示问题并不安全,那什麽才安全呢?我们建议使用多重认证。

身份验证 “因素” 是用于验证某人身份的一种凭证。这些类别通常被概括为:您知道的东西、您拥有的东西,或关于您个人的身份。

如果您的安全性倚赖一组密码以及一个安全提示问题,那就只是 “您知道的东西” 或是 “您认识的东西”。Gandi 提供提供基于多重 “因素” 的双重验证,您知道的东西(一组密码)以及您拥有的东西(计时的一次性密码或 USB 密钥),或是关于您个人身份的东西(例如指纹识别器等生物识别技术)。

如何重置您的密码

请参考线上文件 忘记帐号或密码

您只需要在帐户登入页面上点选 “忘记帐号或密码”,并提供您帐户的安全电子邮件地址以重置密码。 然后,我们会寄出附有连结的邮件让您重置密码。

如果您需要更新您帐户中的安全电子邮件地址,只要在登入您的 Gandi 帐户时,点选右上角的使用者名称,然后从下拉选单中点击 “帐号设定”,接着点选 “管理用户帐户和安全设定”。最后到 “帐户资讯” 中选择绿色的 “编辑” 按键” 即可变更电子邮件地址。