為什麼google和facebook取消了密保問題來找回密碼?


這是安全攻防都進入大數據時代帶來的變化。

過去的安全問題很容易被社工,然後也很容易被自己忘記。試想一個熟悉你的人,或者掌握了某些社會工程資料庫的人,這些問題是相對比較容易被答出來的。

舉幾個例子:
你的父親的姓是什麼?
你小學的名字是什麼?
你最好的朋友的名字是什麼?

上述問題並不需要太費力就能得到相對準確的結果。

所以現在越來越多的互聯網公司也會傾向於使用大數據來分析個人的使用習慣,例如地理位置、IP地址、設備、擊鍵節奏、生物特徵等等來輔助進行身份認證,不僅更加友善,對社會工程學攻擊也防範性更強。


密保問題設置的常規一點分分鐘被社工,稍微變點花樣永遠記不住,蛋疼的要死,取消了好!!!誰 TM 再跟我提密保問題,我跟誰急!!!


對於能自定義問題的:
「問一」
「x」
「問二」
「xx」
「問三」
「xxx」

對於不能自定義問題,只能選擇的
問一:爸爸叫什麼
問二:媽媽叫什麼
問三:出生地
答案同上

當年就是這麼做的,不同的問題,相同的答案,靠長度區分。當然也怕:萬一一個站的數據泄露了,自己的問答不是就被人知道了?

=========================================

早先都是定死的問題多(那時候懷疑是不是他們技術上做不到讓人自擬問題?),只能選,於是每個需要用到密保問答的地方,都是同一套問答,那時候比較擔心。
後來可以自定義了,就放心多了。因為只需要在問題里埋下順序即可。「一開始我是拒絕的」,「二逼歡樂多」,「三個和尚沒水喝」,「我有一個好基友」,「沒有最二,只有更二」……隨便寫。
什麼?你說怕忘了答案忘了順序?來來來,我教你三句口訣,保你一輩子不忘,聽好了:
鵝鵝鵝
曲項向天歌
白毛浮綠水
紅掌撥清波


這是iCloud的密保問題

傻B嗎?相當傻B!
甚至不用大數據分析,隨便掛個字典什麼的就能把答案試出來!


你的出生地在哪?
內蒙古
內蒙
內蒙赤峰
內蒙古赤峰
內蒙古自治區赤峰市
內蒙古赤峰市
赤峰
赤峰市
中國
中國內蒙
中華人民共和國。。。
哈喇嘛村
赤峰市哈喇嘛村
赤峰哈喇嘛村
哈喇嘛村醫院
。。。
我當時到底填的啥?


不請自來。


是為了避免利用社會工程學來攻擊賬戶,採用了IP,設備,甚至好友辨識等多種手段來驗證使用者的合法性。


PS:我FB好友都是隨便加的。前不久,登陸地點異常,讓我辨認好友頭像來驗證身份.

這酸爽。


密保問題就是自以為聰明的傻X發明的垃圾玩意,雞肋都不如。

傻X以為全世界就他一家網站呢。實際上這個網站要密保,那個網站也要密保,問題還經常不一樣,也不能自定義,答案識別又弱雞,比如問題你出生哪裡?我這個網寫廣州,那個網寫廣州市,還有的寫了廣東,誰TM記得住。

要改qq密碼,體驗一下qq的密保驗證,簡直蛋疼...


推薦閱讀:

有人實踐過 Phabricator 以及 Arcanist 作為 code review 的工具么?
Facebook 是怎麼做反垃圾信息的 (antispam)? 都有哪些可取之處?
Facebook 的價值到底體現在哪裡?
Facebook 的「Like」功能,背後有哪幾層考慮?
你認為社交網路的核心功能是什麼?

TAG:Facebook | 網路安全 | 谷歌Google | 隱私保護 |