從雅虎數據泄露事件看安全問題的安全性

使用複雜隨機密碼的觀念幾乎已深入人心，只要有安全意識的人都知道使用「password1」「1234567」作為密碼是很low的一種方式。雖然密碼的安全度提高了，但是另一個問題隨之而來：安全問題。

上周Yahoo被黑客攻擊，近5億用戶數據泄露。泄露的數據里不僅包括加鹽後的密碼，郵箱地址，還有用來重設密碼用的安全問題和答案。這些安全問題通常是「你最想去度假的城市？」「你所住街道的名字？」。雅虎的這次事件向我們展示了這些看似平淡無奇的問題著實影響著我們重要的數據。安全社區的人說安全問題應該直接廢除，在它沒有被廢除之前，最好設置虛假的答案。

Yahoo的這次數據泄露已經證明了安全問題對密碼應急機制的不足之處。安全問題的初衷是找回密碼的一種方式。假如你忘記了一個複雜的密碼，按照安全問題的思路，你不會忘記你母親的姓氏或者你出生的城市名。但是這些實際的信息在網路上可不是放在什麼安全的地方，通過網頁或者社交媒體搜索通常會找到某人長大的城市或者第一輛汽車的牌子。

Yahoo這次數據泄露的規模等同於一場生態災難，這也使得美國聯邦政府打算棄用安全問題，7月份時，國家標準技術研究所發表了數字認證導言的草案，不再贊同使用安全問題來作為聯邦賬號的保護措施。

Yahoo官方稱，為了用戶的賬號安全，我們建議用戶禁用掉安全問題。而Google用戶想恢復一個賬戶時，只需要發送簡訊或者提供備用郵箱。

所以假如你有Yahoo賬號的話，恐怕你需要重新為你的母親設置一個姓氏或者使用一個新的出生街道名了。

從安全問題轉變為其他方式並不容易。目前，其他方式包括發送重設密碼的鏈接到備用郵箱，使用YubiKey提供物理認證，使用安全認證的app提供的實時生成的代碼。列舉安全問題的缺陷是容易的，但是找到一種好的轉變方式是困難的，因為就像現在流行的簡訊驗證的方式都有其自己的缺陷。

主流的網路服務都在轉變，但是轉變的程度不同。大部分都是在其登錄頁面展示一個「忘記密碼」的鏈接跳轉到更換密碼的工具上。Twitter目前完全不使用安全問題來進行賬號恢復，FaceBook只在用戶無法使用之前設置的備用郵箱或者手機號時，使用安全問題作為找回賬號的最後方式，但是FaceBook的安全問題的答案不可更改。Amazon支付也是同樣的方式。像Bank of America，TD Bank,Fidelity這些銀行仍然採用安全問題技術來實現賬號恢復。

既然安全問題還不會那麼快消失，可以採取一些措施增強你的安全問題。最好的方式就是對你的安全問題撒謊。你可以使用一串隨機字元串來代替有實際意義的信息。

這麼做的缺陷是你將更難記住問題的答案，但你可以使用密碼管理工具來存儲隨機生成的複雜密碼，也可以存儲安全問題答案。

註：本文參考來源於wired

推薦閱讀：