We weten allemaal dat we veilige wachtwoorden moeten maken. Maar hoewel we ons zorgen maken over onze wachtwoorden, is er een achterdeur waar we nooit aan denken. Beveiligingsvragen zijn vaak gemakkelijk te raden en kunnen wachtwoorden vaak omzeilen.
Gelukkig realiseren veel services zich dat beveiligingsvragen erg onzeker zijn en schrappen ze ze. Google en Microsoft bieden niet langer beveiligingsvragen voor hun accounts, maar u kunt een account herstellen met een gekoppeld telefoonnummer.
De Palin "Hack"
Dit is niet alleen een theoretisch probleem. Yahoo! van Sarah Palin e-mailaccount was beroemd " gehackt ”In de aanloop naar de verkiezingen van 2008. De "hacker" heeft zojuist de prompt voor het opnieuw instellen van het wachtwoord gebruikt en haar beveiligingsvraag beantwoord. De vraag was waar ze haar echtgenoot ontmoette, en het antwoord - Wasilla High - was toegankelijk via een snelle Google-zoekopdracht.
Het probleem met beveiligingsvragen
VERWANT: Beveilig uzelf door tweestapsverificatie te gebruiken op deze 16 webservices
Dit is niet alleen een probleem voor Sarah Palin. Bij het opzetten van accounts - van bankrekeningen tot e-mailaccounts - wordt ons vaak gevraagd om een beveiligingsvraag in te stellen. Meestal krijgen we een lijst met voorgestelde vragen, zoals 'Waar ging je naar de middelbare school?' en "Wat is de meisjesnaam van je moeder?" Op sommige websites kunt u uw eigen vraag maken, maar bij veel websites wordt u gedwongen een keuze te maken uit hun lijst met voorgestelde vragen. Sommige websites dwingen u om meerdere beveiligingsvragen en -antwoorden in te stellen, wat betekent dat u niet slechts één antwoord kunt kiezen dat gemakkelijk te onthouden is. U moet verschillende vragen kiezen en alle antwoorden onthouden.
Het echte probleem met beveiligingsvragen is dat de antwoorden zo duidelijk zijn. De antwoorden op veel beveiligingsvragen, van "Wat is je verjaardag?" naar "Waar ging je naar de middelbare school?" zijn algemeen bekend, als iemand wil kijken. Ze kunnen er misschien zelfs naar zoeken op Google. Zelfs als de antwoorden nog niet algemeen bekend zijn, zullen de meeste normale mensen details delen, zoals waar ze hun partner hebben ontmoet en waar ze naar school zijn gegaan tijdens een normaal gesprek.
Basisprincipes van beveiligingsvragen
Als u het wachtwoord van een account nooit opnieuw heeft ingesteld, hoeft u nooit meer uw eigen beveiligingsvragen te beantwoorden en kunt u ze vergeten. U kunt vaak op een link klikken die zegt dat u uw wachtwoord bent vergeten en als u de beveiligingsvraag correct beantwoordt, krijgt u toegang tot dat account. Op deze manier kunt u met beveiligingsvragen uw wachtwoord omzeilen. Uw account is niet meer zo veilig als uw wachtwoord, het is alleen zo veilig als uw meest voor de hand liggende beveiligingsvraag.
Antwoorden op beveiligingsvragen zijn ook gewoon gemakkelijker te raden. Als de vraag bijvoorbeeld is: 'Wat was de naam van uw eerste huisdier?', Dan is het heel gemakkelijk om enkele veelvoorkomende koosnaampjes te raden. Het maakt niet uit of uw wachtwoord zo moeilijk te raden is als "3 & 40 $ d #% $ t # kteyt". Als de naam van uw eerste huisdier "Fido" was en u de beveiligingsvraag nauwkeurig beantwoordt, is het antwoord gemakkelijk te raden.
Niet elke service zal uw account resetten en iemand anders toegang geven alleen omdat zij het antwoord op uw beveiligingsvraag weten, maar sommigen zullen dat wel doen. Andere services gebruiken beveiligingsvragen als onderdeel van een authenticatieproces waarvoor andere persoonlijke gegevens nodig zijn.
Beveiligingsvragen kiezen en beantwoorden
Houd hier rekening mee bij het kiezen van beveiligingsvragen en -antwoorden. Kies iets dat voor andere mensen moeilijk te achterhalen of raden is, niet zoiets als waar je naar school ging.
VERWANT: Waarom u een wachtwoordbeheerder moet gebruiken en hoe u aan de slag kunt gaan
Het tweede alternatief is om u af te melden voor beveiligingsvragen. Als u bijvoorbeeld de kans krijgt om uw eigen beveiligingsvraag te schrijven, kunt u een vraag invoeren als 'Wat is het antwoord?' of verwijs naar een grap die alleen jij zou weten. U kunt dan een antwoord geven dat net zo veilig is als de vraag - misschien is uw antwoord / vraag-paar zoiets als 'Wat is het antwoord?' "45D% po # Yih8d0Y $ fgp (i34t". Je hebt nu gewoon een tweede wachtwoord voor je account - schrijf het ergens veilig of sla het op in een wachtwoordbeheerder zoals LastPass of KeePass zodat je er toegang toe hebt voor het geval je het ooit nodig hebt. Met een antwoord als dit heb je eigenlijk gewoon een tweede wachtwoord.
Houd er rekening mee dat u de vragen ook niet nauwkeurig hoeft te beantwoorden. Als de vraag bijvoorbeeld is: "Waar heb je je eerste kus gehad?" en je hebt je hele leven in New York gewoond, waarschijnlijk wil je New York niet binnen - dat is een heel voor de hand liggend antwoord. Misschien is je antwoord 'In een krater op de maan' of een andere dwaze reactie die je je zult herinneren, maar andere mensen zullen meer moeite hebben om te raden. Natuurlijk is zelfs dit antwoord duidelijker dan een schijnbaar willekeurige reeks. Misschien is je antwoord op "Waar heb je je eerste kus gehad?" is 9je7% 5yry835 # 9reou & hf94 @ 7gt5. Zelfs als u een bepaalde vraag moet gebruiken, bent u vrij om elk antwoord in te voeren dat u bevalt, zolang u het kunt onthouden. U wilt dit antwoord natuurlijk veilig bewaren voor het geval u het in de toekomst ooit nog moet geven.
Beveiligingsvragen zijn onzeker. Maar zelfs als u gedwongen wordt ze te gebruiken of een onzekere vraag moet gebruiken, hoeft u nooit een juist antwoord te geven. U kunt elk gewenst antwoord invoeren, zolang u het maar kunt onthouden voor later. Wat je ook doet, zorg ervoor dat je geen achterdeur opent die een aanvaller kan gebruiken om je wachtwoord te omzeilen.
Afbeelding tegoed: Paul Keller op Flickr
