Девичья фамилия матери и прочие способы завладеть вашими данны | Как выйти из айти

Девичья фамилия матери и прочие способы завладеть вашими данными (и деньгами)

В качестве подтверждения личности во многих сервисах (включая банковские) используются контрольные вопросы. Чаще всего — с предустановленным списком вопросов, который иногда содержит пункт «написать свой вопрос» (а чаще — нет). К контрольным вопросам такого рода можно отнести и кодовые слова, которые так любят банки.

А сейчас остановитесь и посчитайте, в скольких сервисах вы выбрали предустановленный контрольный вопрос и ответили на него. Больше нуля? Немедленно меняйте ответ (желательно, вместе с вопросом). Почему?

О том, что такое «социальная инженерия» слышали, наверное, все. Правда, многие думают, что для проведения работ по получению злоумышленником контроля над каким-нибудь вашим аккаунтом в рамках социальной инженерии требуется прямое взаимодействие с конечным пользователем и утешают себя тем, что «я же не дурак, называть важные данные всем подряд?»

А потом на форуме собаководов вы рассказываете, что у вас в детстве была собачка Жучка, вы её очень любили, и помните до сих пор. А в каком-нибудь «Банке номер 40» у вас кодовое слово — «Жучка». Вы его, конечно, никому не скажете, но однажды проснётесь без денег и без доступа к интернет-банку «Банка номер 40».

Разберём на примере среднестатистического банка: чтобы получить доступ к вашему счёту, нужны: симка с вашим номером (можно получить дубликат через коррумпированного сотрудника салона сотовой связи), паспортные данные (валяются в переходе у Васяна на диске) и кодовое слово (нужно, чтобы снять блокировку операций со свежеустановленного приложения в некоторых банках). Какова вероятность, что злоумышленник найдёт ответ на контрольный вопрос или кодовое слово, если вы честно ответили на него или выбрали то, что действительно к вам относится?

Практически 100%.

Контрольные вопросы и кодовые слова — это последний бастион безопасности там, где все другие меры уже сломаны. Никогда не относитесь к ним, как к праздным формальностям, никогда не отвечайте на них честно. Девичью фамилию вашей матери найдут на Одноклассниках, Жучку вы выложите сами, а имя первого лучшего друга подсмотрят на вашей же странице в соцсети. Правильное отношение к контрольному вопросу — как к ещё одному паролю: ответ должен быть уникален, нигде не упоминаться и не использоваться.

Использование уникального, собственного контрольного вопроса, кстати, чаще всего упрощает жизнь злоумышленнику, так как становится понятней, что пытаться искать. А вот ответить на «Девичью фамилию матери» что-то типа «mumble-anything-perdole» — гораздо надёжнее, так как позволяет сбить взломщика со следа.

«Но что делать, если я забуду кодовое слово или ответ на контрольый вопрос?»

* Пока у вас есть доступ к аккаунту — всегда есть возможность поменять их, используя для подтверждения другие факторы (пароль, код из SMS, паспорт...)
* Если доступа нет и вы не пользовались менеджером паролей — ня, пока. Вспоминайте. Если это банк — можно сходить в отделение и сбросить все доступы.
* Если вы пользовались менеджером паролей — скорее всего, такая проблема перед вами не стоит.

Отдельно надо проговорить стратегию, на случай, если кирпич упал на голову и теперь вы вообще ничего не помните. Но это история для следующего раза.