При потере пользователем пароля многие веб-сервисы используют механизм аутентификации, который при замене/восстановлении пароля предлагает претенденту ответить на контрольный вопрос. При этом сам вопрос и ответ на него выбирает владелец аккаунта при регистрации.
Однако, по данным Microsoft, 20% придуманных пользователями ответов забываются через полгода. Кроме того, поставленный сотрудниками компании эксперимент [PDF 181Кб] обнаружил: в 17% случаев контрольная пара вопрос-ответ бывает столь бесхитростной, что подобрать правильный ответ не составляет особого труда.
Эксперты предлагают альтернативную систему, основанную на привлечении третьей стороны. Пользователь выбирает несколько доверенных лиц, которые в случае нужды по сигналу загружают фрагменты защитного кода. Собранные воедино, они позволят восстановить в правах владельца аккаунта.
Новый механизм прошел испытания и показал эффективность 90%. По оценке Microsoft, эффективность системы вопрос-ответ составляет 80%. Однако исследователи не настаивают на замене, предлагая свой вариант как опцию. Важно также, чтобы «поручители» осознавали свою миссию и не допускали утечки конфиденциальной информации.
Лаборатория Касперского
Комментариев нет:
Отправить комментарий