密碼安全問題有多雞肋？

12-27

很多網站在註冊時會要你填一個密碼安全問題，以防你密碼忘記時可以通過這個問題找回來。但事實上這個真的是比雞肋還雞肋。
如果你老實填一個問題答案，例如你小學名字，你爺爺名字，你的車牌號，你最喜歡的球隊等等，這些信息跟你親近的朋友很容易就知道，即便不是很熟的人，在稍微套近乎一些也便知道了（可以看看社交工程學），那樣別人可以輕易進入你的賬戶了。

像我如果遇到一定要填密碼安全問題的，我就寫一個很難的回答，但事實上，密碼記得很牢，而密碼安全問題的答案早忘記了。

你們覺得是嗎？

我的觀點是：
密碼安全問題在這個年代已經顯得不夠「適宜」了，甚至可能已經成為了一個漏洞。

下面我從幾個維度來論證一下這個結論
1 行業趨勢是怎麼樣的
2 密碼安全問題的缺陷以及為什麼密保問題已經不夠「適宜」
3 一個的例子關於密碼安全問題如何成為現在互聯網一個漏洞的

第一個維度：行業趨勢是怎麼樣的
行業趨勢是：大家都正在弱化，甚至是移除這個功能
為此我專門查了一下國內外比較有代表性BAT、網易以及google（twitter和facebook待補充）
百度——已經不存在密保問題

谷歌——不再支持安全密碼安全問題登錄賬戶

最耐人尋味的是網易，在賬號安全中依然存在「密碼提示問題」這一條，並且可以修改，可是在找回密碼的的選項中卻沒有了通過密保問題找回這一選項

QQ、taobao——依然支持密保問題，但是都被做了一定的弱化或者是隱藏
僅僅舉個騰訊的為例子，點擊驗證密保找回密碼之後給出的提示是手機驗證，之後在左下方不起眼位置中的選項中才能找到密保問題

也就是說已經有不少公司完全放棄密保問題（百度/谷歌/網易），沒有完全放棄密保問題的也都正在在弱化。而比較新的網站中也越來越少的還會有密保問題的出現，更別提手機app中更是不會有這樣的設計出現的。第二個維度：密碼安全問題的缺陷以及為什麼密碼安全問題已經不夠「適宜」
先說密保問題的缺陷
密保問題實際上就是犧牲一定的安全性換取一定的便利性的措施。讓用戶忘記了密碼可以通過其它的挑戰性問題來找回密碼。
其的主要問題在於
1 密保問題是非常容易被攻擊的，其犧牲的安全性成本是很高的
在搜索引擎和社交網路已經非常發達的今天，一個人的私密資料在社工之下已經越來越難保密。絕大部分的密保問題設計都是有預設問題的，而這些預設問題大部分在如今這個年代都顯得不夠安全，比如下面的就是騰訊的預設問題。很多問題難度係數真的實在是太低了。

2 即使是一個完美的密碼安全問題設置，其的破譯難度也不會高於普通密碼，同時好的密碼安全問題的設計增加的成本也讓密保問題本身的目的不復存在
完美的密碼安全問題就是

問題：你初中的班主任是誰？
答案：qo(581得/*1

簡化一下的還有其他的知友提到的如

例:我的姓名？
答:xxx啊。
例:我的愛好？
答:打籃球啊。

這些答案的破譯難度都絕對不會高於密碼（因為最高也就是讓答案變成了一個無規律密碼了）。可是，這實際上已經違背了密保問題的初衷，與其這樣更像是以前的賬戶「安全碼」的設定了，每一個賬戶設置一個安全碼，可以通過這個安全碼來重置這個賬戶密碼。（目前已經幾乎沒有網站還有這樣的設計了，問題自然非常多，在此不做分析）
再說說什麼密碼安全問題已經不夠「適宜」
這就要說到密碼安全問題出現的背景了。很容易發現我上面舉例的那些網站都是一些老站（2000年左右），實際上密碼安全問題出現的背景正是與此相關的：
1 搜索引擎還遠沒有現在這麼強大，通過互聯網進行人肉還是一件門檻非常高的事情
2 社交網路更是遠沒有現在這麼發達，facebook和人人在07/08年之前都還只是一個非常小眾的地方，twitter和weibo更是還遠未成形
3 手機的普及程度不高，尤其是對於學生群體而言手機的普及率還是非常低的，更別說智能手機還是幻想了
4 郵箱普及程度很低，並且那時候很多郵箱還有多長時間沒登錄會過期作廢這麼一說
因此安全問題在那個個人信息泄露，缺乏更好的身份認證途徑的年代就是個「不錯、靠譜、文檔的解決方案」了。
而現在，更多更好的解決方案已經面世，尤其是是手機的普及以及智能手機時代的到來，同時伴隨著缺陷的不斷被放大，再用現在的眼光來看，密碼安全問題的出現背景早已被顛覆，從而已經顯得不夠「適宜」，甚至已經成為了一個隱患，甚至是漏洞了。

第三個維度：一個的例子關於密碼安全問題如何成為現在互聯網一個漏洞的
又到了我用血淋淋親身經歷來給大家做教訓的時候了
這是一次我被盜號的經歷。
那年，我還在百度某貼吧當大吧，也算是個小範圍的公眾人物了吧，因此也算是比較注意自己的賬號安全，密保郵箱、密保手機都已經做了綁定，同時也已經意識到了個人信息很容易被人肉，因此關閉了密保問題的驗證。
似乎和密碼安全問題無關了？不，我還是栽在了密碼安全問題上面，但不是栽在了百度賬號的密碼安全問題，而是栽在了我的密保郵箱的密碼安全問題上。
下面是攻擊的步驟
step1 攻擊者首先獲取了我的密保郵箱（我的常用郵箱，大家很容易知道郵箱賬號的）
step2 通過密碼找回獲取密保郵箱的密碼安全問題
step3 社工我的密碼安全問題答案
step4 重置我的密保郵箱密碼，攻破密保郵箱
step5 通過密保郵箱重置百度賬號的密碼，攻破百度賬號

而最關鍵的第二第三步，就是密碼安全問題被攻破。
因為我的郵箱註冊時間非常早，早已忘記了還有密碼安全問題這一回事，並且當年問題設置的也比較普通（類似於小學是什麼，初中班主任是誰之類的），正常人可能也不會出什麼問題，但是碰巧那時候自己還成為了一個互聯網小公眾人物，個人信息很容易就被做了全面人肉，於是很快密碼安全問題成為了第一塊倒下的多米諾骨牌。

--------------------------------------------------
好的，最後就是總結，先重複一下結論：
密碼安全問題在這個年代已經顯得不夠「適宜」了，甚至可能已經成為了一個漏洞。
然後提一些建議：
我以一個非專業人士的角度建議現在新的網站不要再設置傳統的密碼安全問題，而已有這樣設計的網站建議弱化，不再支持單獨通過密碼安全問題驗證修改密碼，甚至是像是谷歌百度網易一樣直接關閉這個入口。

把答案設置成和問題完全無關的一個暗語，比如兒時的口頭禪

例：「我出生的城市是？」
答案：「葯葯切克鬧」

這樣別人死活猜不出來

挑戰性問題還是有用的，強度不低於密碼，在密碼生成時，註冊密碼找回，在不少於30個預置挑戰性問題中設置不少於6個，回答正確不少於3個視作通過了「something you know」認證，可以重置密碼

由於有可能「朋友」想黑我，所以我十分欣賞這種回答假的、複雜的，儘可能避免選擇「你父親的姓名」這樣簡單問題的做法，我就是這樣乾的，不過我的複雜化挑戰性回答有一定規律，不怕自己忘記，提示：替換，加字。

現在看網站似乎更喜歡通過郵箱或其他稀奇古怪的方法來重置，重置密碼必須要有一個前提，就是該認證方式的安全性不低於密碼方式。有的重置方式沒有保護好憑證，或第三方本身不安全，就會造成任意修改密碼。相比之下，挑戰性問題還是經得住考驗的。

我感覺綁定郵箱或手機比題主的方法好多了。
可能文不對題。
不對就摺疊唄，怕什麼。

哼，一個釣魚貼。

你需要一個只有你自己知道的答案加密方式
至於這種方式是什麼？
例:我的姓名？
答:xxx啊。
例:我的愛好？
答:打籃球啊。

看你怎麼用了，比如你上初中暗戀過某人
提示：你的中學是？
密碼：ALLshi2TA

不管密碼提示問題是什麼，我都會填123456