Câu hỏi bảo mật

Một câu hỏi bảo mật là hình thức bí mật được chia sẻ ^[1] được sử dụng như một trình xác thực. Nó thường được sử dụng bởi các ngân hàng, công ty cáp và nhà cung cấp không dây như một lớp bảo mật bổ sung.

Các tổ chức tài chính đã sử dụng các câu hỏi để xác thực khách hàng kể từ ít nhất là đầu thế kỷ 20. Trong một bài phát biểu năm 1906 tại một cuộc họp của một bộ phận của Hiệp hội Ngân hàng Hoa Kỳ, nhân viên ngân hàng của Baltimore, William M. Hayden, đã mô tả việc sử dụng các câu hỏi bảo mật của tổ chức của mình như là một bổ sung cho hồ sơ chữ ký của khách hàng. Ông mô tả các thẻ chữ ký được sử dụng để mở tài khoản mới, có không gian cho nơi sinh của khách hàng, "nơi cư trú", tên thời thiếu nữ, nghề nghiệp và tuổi của mẹ.

Hayden lưu ý rằng một số mặt hàng này thường bị bỏ trống và thông tin "cư trú" được sử dụng chủ yếu để liên lạc với khách hàng, nhưng tên thời thiếu nữ của người mẹ rất hữu ích như một "bài kiểm tra danh tính mạnh mẽ". Mặc dù anh ta nhận thấy rằng rất hiếm khi ai đó bên ngoài gia đình của khách hàng cố gắng rút tiền từ tài khoản của khách hàng, anh ta nói rằng tên thời con gái của mẹ rất hữu ích trong việc xác minh vì nó hiếm khi được biết đến bên ngoài gia đình và ngay cả những người mở tài khoản cũng "Thường không chuẩn bị cho câu hỏi này".^[2] Tương tự, theo thông lệ hiện đại, nhà cung cấp thẻ tín dụng có thể yêu cầu tên thời thiếu nữ của mẹ bạn trước khi cấp thẻ thay thế cho thẻ bị mất.^[1]

Vào những năm 2000, các câu hỏi bảo mật đã được sử dụng rộng rãi trên Internet.^[1] Là một hình thức đặt lại mật khẩu tự phục vụ, các câu hỏi bảo mật đã giảm chi phí nhân viên hỗ trợ công nghệ thông tin. Bằng cách cho phép sử dụng các câu hỏi bảo mật trực tuyến, chúng sẽ dễ bị tấn công khi đăng nhập tổ hợp phím. Ngoài ra, trong khi một đại diện dịch vụ khách hàng của con người có thể đối phó với các câu trả lời bảo mật không chính xác một cách thích hợp, các máy tính lại kém thông thạo hơn. Như vậy, người dùng phải nhớ chính tả chính xác và đôi khi thậm chí trường hợp các câu trả lời mà họ cung cấp, đó là mối đe doạ rằng nhiều câu trả lời sẽ được viết xuống, dẫn đến các vụ trộm cắp thông thường.

Do tính chất phổ biến của phương tiện truyền thông xã hội, nhiều câu hỏi bảo mật truyền thống cũ không còn hữu ích hoặc an toàn. Điều quan trọng cần nhớ là một câu hỏi bảo mật chỉ là một mật khẩu khác. Do đó, không nên chia sẻ câu hỏi bảo mật với bất kỳ ai khác hoặc bao gồm bất kỳ thông tin nào có sẵn trên các trang web truyền thông xã hội, trong khi vẫn đơn giản, dễ nhớ, khó đoán và không đổi theo thời gian. Hiểu rằng không phải câu hỏi nào cũng có hiệu quả với tất cả mọi người, RSA (nhà cung cấp bảo mật mạng của Hoa Kỳ, một bộ phận của EMC Corporation) cung cấp cho ngân hàng 150 câu hỏi để lựa chọn.^[1]

Nhiều người đã đặt câu hỏi về tính hữu ích của các câu hỏi bảo mật.^[3]^[4]^[5] Chuyên gia bảo mật Bruce Schneier chỉ ra rằng vì chúng là sự thật công khai về một người, nên chúng dễ đoán cho tin tặc hơn mật khẩu. Người dùng biết điều này tạo ra câu trả lời giả cho các câu hỏi, sau đó quên câu trả lời, do đó đánh bại mục đích và tạo ra sự bất tiện không đáng để đầu tư.^[6]

Xem thêm sửa

Xác thực dựa trên kiến thức
Mật khẩu mệt mỏi

Tham khảo sửa

^ ^a ^b ^c ^d Levin, Josh (ngày 30 tháng 1 năm 2008). “In What City Did You Honeymoon? And other monstrously stupid bank security questions”. Slate.
^ William M. Hayden (1906), Systems in Savings Banks, The Banking Law Journal, volume 23, page 909.
^ Robert Lemnos, Are Your "Secret Questions" Too Easily Answered?, MIT Technology Review, ngày 18 tháng 5 năm 2009 (retrieved ngày 21 tháng 5 năm 2015)
^ Victor Luckerson, Stop Using This Painfully Obvious Answer For Your Security Questions, Time Magazine, ngày 21 tháng 5 năm 2015 (retrieved ngày 21 tháng 5 năm 2015)
^ Elie Bursztein, New Research: Some Tough Questions for ‘Security Questions’, 24th International World Wide Web Conference (WWW 2015), Florence, Italy, May 18 - 22, 2015; Google Online Security Blog, ngày 21 tháng 5 năm 2015 (retrieved ngày 21 tháng 5 năm 2015)
^ Bruce Schneier. “The Curse of the Security Question”.

[Levin-1] Levin, Josh (ngày 30 tháng 1 năm 2008). “In What City Did You Honeymoon? And other monstrously stupid bank security questions”. Slate.

[2] William M. Hayden (1906), Systems in Savings Banks, The Banking Law Journal, volume 23, page 909.

[3] Robert Lemnos, Are Your "Secret Questions" Too Easily Answered?, MIT Technology Review, ngày 18 tháng 5 năm 2009 (retrieved ngày 21 tháng 5 năm 2015)

[4] Victor Luckerson, Stop Using This Painfully Obvious Answer For Your Security Questions, Time Magazine, ngày 21 tháng 5 năm 2015 (retrieved ngày 21 tháng 5 năm 2015)

[5] Elie Bursztein, New Research: Some Tough Questions for ‘Security Questions’, 24th International World Wide Web Conference (WWW 2015), Florence, Italy, May 18 - 22, 2015; Google Online Security Blog, ngày 21 tháng 5 năm 2015 (retrieved ngày 21 tháng 5 năm 2015)

[Schneier-6] Bruce Schneier. “The Curse of the Security Question”.

[1]

[2]

[3]

[4]

[5]

[6]