Jak správně zacházet s kontrolními otázkami u online služeb?
Jak správně řešit hesla řešíme poměrně často. Ale trochu je opomenuta otázka kontrolních otázek pro obnovení hesla. Což jsou takové ty podivné vědci jako „Jaké jméno měla vaše matka za svobodna“ či „Jaké první auto jste měli„, které zdánlivě mají dopomoci k lepšímu zabezpečení vašeho účtu někde k tomu jak obnovit přístup k účtu pokud zapomenete heslo.
Kontrolní otázky jsou jedna z nejvíce nebezpečných věcí, která kdy někoho napadla. Hlavní nebezpečí dnes spočívá v tom, že pokud si tam někdo na otázku „Jaké jméno měla vaše matka za svobodna“ opravdu napíše rodné příjmení matky, tak je velmi jednoduché na něco takového přijít. V tomto případě třeba zkoumáním matrik či dalších zdrojů. Ale dnes je daleko jednodušší něco takového dostat buď sociálním inženýrstvím, nebo to prostě najít na sociálních profilech dané osoby.
Správné použití kontrolních otázek spočívá jedině v tom, že jako odpovědi si vygenerujete zcela náhodná a nesmyslná hesla, taková, která by mohla být samotným heslem. Stejně jako u klasických hesel platí, že musí být unikátní, protože pokud dojde k prozrazení vaší oblíbené odpovědi na kontrolní otázku v jednom webu, bude to znamenat zásadní riziko i pro všechny ostatní weby.
Takové to řešení na půl cesty, že na konkrétní otázku (třeba ono příjmení matky za svobodna) tam dáte nějaký nesmysl (třeba „co je vám po tom„) je hodně polovičaté, protože nejspíš podobný nesmysl opakovaně použijete na víc místech. A opět máte zaděláno na malér. Co je ještě horší je, že v řadě případů jsou sice hesla šifrovaná (a provozovatel je tedy nemůže, ale ani nesmí znát) ale u kontrolních otázek se na šifrování zapomíná.
Kontrolní otázky bývají většinou předdefinované (dělá to tak Apple, Seznam i řada dalších firem, bohužel) nebo si můžete otázku i odpověď nastavit na vlastní. Ani tato varianta není bezpečnější, je stále stejně problematická. Řada lidí je navíc tak naivní, že si jako otázku dá něco, co napovídá na odpověď.
Nepomáhá ani to, že kontrolních otázek a odpovědí musíte vyplnit více a v případě potřeby je zobrazena náhodně jedna (například ze tří). Stejně to vede k tomu, že si někam musíte odpovědi a otázky zapsat.
Zopakujme si to – do kontrolních (bezpečnostních) otázek si vygenerujte zcela náhodné a unikátní odpovědi a pro uložení použijte správce hesel, stejně jako to děláte u klasických hesel. Pamatujte, že kontrolní otázky jsou další zásadní bezpečnostní riziko, které často vede k hacknutí účtu.