leo_sosnine: (Default)
leo_sosnine ([personal profile] leo_sosnine) wrote2016-12-01 11:50 am
  • Add Memory
  • Share This Entry
Entry tags:

Security questions

Я уже тут оплёвывал многократно и всесторонне такое понятие как "security questions" которые пошла мода делать буквально на всех ресурсах в энторнете. Это типа вопросы типа девичьей фамилии матери, ответив на которые, юзер может заресеттить свой пассворд, в том случае, если он кретин и просрал свой пароль.

Что ещё хуже, владельцы этих ресурсов позиционируют эти вопросы как меру безопасности! Так и пишут, что для повышения секьюрити вам нужно на них ответить и всё чаще делают эту процедуру обязательной!

Но это кретинизм и security questions на самом деле понижают уровень безопасности и недавно в постинге мудака Кребса было тому наглядное подтверждение:



Как правильно поступать с этими вопросами? Примерно вот так:



А если Вы забыли свой пароль то это просто значит, что Вы балбес. Пароли нужно держать в локальном пассворд менеджере типа keepass со сложным мастер-паролем, который почти единственный из тех, которые необходимо запоминать. БД пассворд-менеджера хранить в разнесённых локациях.

Кстати, на ресурсах, которые действительно take security seriously, никогда не бывает опции восстановления пароля. Если пароль просран -- доступ к данным утерян навсегда. Так было на lavabit.com, которым пользовался Эдвард Сноуден.
Threaded | Flat

[identity profile] genka8.livejournal.com 2016-12-01 05:55 pm (UTC)(link)
Говорят, что нехорошо использовать кличку собаки, как пароль. Но я уже так привык... Эй, Sdj7fPa9U, пойдем домой.

[identity profile] kikzan.livejournal.com 2016-12-01 06:20 pm (UTC)(link)
что-то есть нынче вместо лавабита?

Присоединяюсь к совету

[identity profile] livejournal.livejournal.com 2016-12-01 06:45 pm (UTC)(link)
User [livejournal.com profile] schegloff referenced to your post from Присоединяюсь к совету (http://schegloff.livejournal.com/1156307.html) saying: [...] б их взлома - это наводящие вопросы "девичья фамилия щенка вашей любимой вещи". Поэтому вот так [...]

[identity profile] sun-jr.livejournal.com 2016-12-01 06:47 pm (UTC)(link)
Воспользуюсь моментом и спрошу, насколько безопасно изпользовать менеджер паролей, тот же keepass?

[identity profile] gmz.livejournal.com 2016-12-01 07:01 pm (UTC)(link)
Твой совет не соответствует реальной жизни. Некоторые банки и кредитные карты при заходе с другого компа или с того же, но из другого города штата и тп, после введения правильного пароля требуют ввести еще и ответ на один из таких вопросов.

[identity profile] wordsmsdnua.livejournal.com 2016-12-01 07:13 pm (UTC)(link)
Всегда так поступал, во всяком случае отвечал что-то что никак не может быть ответом на вопрос. У меня инфобез в крови)))

[identity profile] 67red.livejournal.com 2016-12-01 07:57 pm (UTC)(link)
А что такое: "БД пассворд-менеджера хранить в разнесённых локациях."?

[identity profile] leonid-smetanin.livejournal.com 2016-12-02 08:41 am (UTC)(link)
ну я так и делаю, только не белиберду пишу, а ответы *похожие* на настоящие (ну типа собачку звали не Тузик, а Грелка), а чтобы не забыть что там где, храню их в пассворд менеджере.
Threaded | Flat