当我们注册一个新的在线服务时，我们总是被要求创建一个密码。这会立即保护新帐户。如果你是明智的，你可以选择一个长的，完全随机的字符串，或者让一个密码管理应用程序为你做这项工作。接下来是安全问题。

这些问题通常会问你母亲的婚前姓，你的小学名，你第一只宠物的名字，等等。安全问题旨在保护我们的账户免受潜在黑客的攻击，应该成为额外的防线。

你如何回答这些问题？你说的是真话，全部的真话，除了真话什么都没有？不幸的是，你的真实可能会在你的网络装甲上**一个意想不到的裂缝。让我们看看你应该如何回答这些问题。

保护屏障

密码提示无疑是有帮助的。如果您忘记了Windows密码，将显示一个有用的提示。这仅仅是一次失败的尝试。对于Windows密码，提示应该会刷新内存。它提醒你使用你选择的提示，所以你可以像你感觉的那样神秘或开放。

安全问题是不同的。我们经常面对我上面提到的熟悉的问题组合，并愿意提供准确的答案。安全问题是作为额外的防线提出的。然而，你应该考虑到在当今超互联的社会中，获得某些答案的相对容易程度。

安全研究人员经常嘲笑安全问题是平淡无奇的。我们能相信一个答案如此容易被发现的安全措施吗？

我做错了？

攻击者利用这些简单的问题——颜色、娘家姓、第一只宠物——进行攻击，因为这些问题很容易通过社交媒体账户获得。更糟糕的是，如果您的帐户使用非常具体的问题和答案，攻击者可以消除其他潜在的密码。

例如，如果安全问题是“你在哪里买的第一辆车？”攻击者可以立即忽略其他更简单的答案。

我相信你已经找到了解决这个安全问题的办法。如果攻击者正在寻找与您直接相关的答案，为什么不使用完全不同的答案呢？

• 你母亲婚前姓什么？fa1c0npunc4型
• 你在哪里遇见你的配偶的？B13周期3
• 你的第一只宠物叫什么名字？n0str0d4mu5型

好吧，这些都是很糟糕的例子，但你明白我的意思。如果答案是a）模糊的，b）使用随机字符，你会立即将帐户的安全栏设置得更高一点。

那会让我安全吗？

更安全，朋友，但不完全安全。

你看，2015年，谷歌发布了一份有趣的文件，探讨了他们在安全问题上的经验教训。他们利用几乎无与伦比的数据集来分析庞大用户群提出的秘密问题，试图了解这个额外的安全层到底有多有效。

Our ****ysis confirms that secret questi*** generally offer a security level that is far lower than user-chosen passwords. It turns out to be even lower than proxies such as the real distribution of surnames in the population would indicate.Surprisingly, we found that a significant cause of this insecurity is that users often don't answer truthfully. A user survey we conducted revealed that a significant fraction of users (37%) who admitted to providing fake answers did so in an attempt to make them "harder to guess" although on aggregate this behavior had the opposite effect as people "harden" their answers in a predictable way.

为什么我们试图撒谎，但却做得如此糟糕？正如你在上面的图表中所看到的那样，大多数受访者都会给出错误的答案，认为这样会增加他们的安全感。然后，我们可以假设公众（尽管只是一个巨大数据库的小快照）确实理解安全问题可以而且将被用来对付他们。

谷歌的研究团队最终得出结论，安全问题要么有点安全，要么容易记住，但这种黄金组合很少找到。因此，“虽然谷歌更喜欢短信和电子邮件恢复，但没有一种机制是完美的。”

最好的例子

不幸的是，谷歌拒绝提供研究所用数据库的真实大小。不过，他们证实，“所考虑的数据包含数亿个数据点，分析的每个问题都有超过100万个答案。”考虑到他们估计的用户基数，这一数字相当可观。

2016年，美国联合航空公司（United Airlines）推出了针对其客户账户的最新安全方案。依靠4位PIN码的旧系统被正确地认为不适用于可能包含数十万美元飞行里程的账户。更新后的系统要求用户输入唯一的密码，并回答五个个人安全问题。

听起来不错，对吧？除了联合航空公司要求他们的客户选择一个强大的，唯一的密码，并回答他们的问题使用预定的答案集。没错：命中注定的答案。例如，如果你选择“你最好的朋友生日是哪一个月”这个问题，你的潜在攻击者——你猜对了——只有12个答案可以解决。困难时期。

United reason认为，“我们的客户面临的大多数安全问题都可以追溯到记录键入内容的计算机病毒，使用预定义的答案可以防止这种类型的入侵。”

安全研究员布莱恩·克雷布斯直接与联合航空公司IT安全情报总监本杰明·沃恩交谈。沃恩说，该公司“正在随机提问，以混淆那些寻求自动提交答案的机器人程序，而回答错误的安全问题将被‘锁定’，不再被问。”

除此之外，沃恩还向克雷布斯证实，多次尝试都不成功会导致账户被锁定。因此，用户必须直接与联合航空公司沟通，以解锁他们的帐户。

传统智慧

联合航空公司发现了一个安全漏洞，但他们的答案并没有完全解决这个问题。正如我们所看到的，回答安全问题的唯一真正安全的方法，就像密码一样，是提供真正独特和随机的东西。这是在希望潜在的黑客将挫败的复杂性，并转移到下一个帐户。

The finding that the general public is suffering from security fatigue is important because it has implicati*** in the workplace and in people's everyday life. It is critical because so many people bank online, and since health care and other valuable information is being moved to the internet.If people can't use security, they are not going to, and then we and our nation won't be secure.-- Cognitive psychologist and Security Fatigue co-author, Brian Stanton

唉，安全疲劳是一个非常现实的问题。用户越来越累。安全漏洞和强制密码重置现在非常普遍，许多用户只是忽略警报。这种疲劳会导致用户在家里和工作场所的危险行为。我们建议：

• 自动化--控制您的安全，自动化扫描、备份等。
• 密码管理——LastPass或KeyPass中提供的密码管理解决方案，它们也可以解决您的安全问题。
• 当家作主--您的数据安全是您的责任。我们对持有我们数据的机构抱有很高的期望，这是正确的。也就是说，如果你不在国内采取强有力的安全措施，你将分担部分责任。

我们写了大量关于克服安全疲劳的文章。读一读，然后重新控制你的安全问题！

你如何回答你的安全问题？你找到最佳点了吗？还是使用密码管理应用程序？让我们知道你的安全问题提示如下！