當我們註冊一個新的在線服務時，我們總是被要求創建一個密碼。這會立即保護新帳戶。如果你是明智的，你可以選擇一個長的，完全隨機的字符串，或者讓一個密碼管理應用程序為你做這項工作。接下來是安全問題。

這些問題通常會問你母親的婚前姓，你的小學名，你第一隻寵物的名字，等等。安全問題旨在保護我們的賬戶免受潛在黑客的攻擊，應該成為額外的防線。

你如何回答這些問題？你說的是真話，全部的真話，除了真話什麼都沒有？不幸的是，你的真實可能會在你的網絡裝甲上**一個意想不到的裂縫。讓我們看看你應該如何回答這些問題。

保護屏障

密碼提示無疑是有幫助的。如果您忘記了Windows密碼，將顯示一個有用的提示。這僅僅是一次失敗的嘗試。對於Windows密碼，提示應該會刷新內存。它提醒你使用你選擇的提示，所以你可以像你感覺的那樣神祕或開放。

安全問題是不同的。我們經常面對我上面提到的熟悉的問題組合，並願意提供準確的答案。安全問題是作為額外的防線提出的。然而，你應該考慮到在當今超互聯的社會中，獲得某些答案的相對容易程度。

安全研究人員經常嘲笑安全問題是平淡無奇的。我們能相信一個答案如此容易被發現的安全措施嗎？

我做錯了？

攻擊者利用這些簡單的問題——顏色、孃家姓、第一隻寵物——進行攻擊，因為這些問題很容易通過社交媒體賬戶獲得。更糟糕的是，如果您的帳戶使用非常具體的問題和答案，攻擊者可以消除其他潛在的密碼。

例如，如果安全問題是“你在哪裡買的第一輛車？”攻擊者可以立即忽略其他更簡單的答案。

我相信你已經找到了解決這個安全問題的辦法。如果攻擊者正在尋找與您直接相關的答案，為什麼不使用完全不同的答案呢？

• 你母親婚前姓什麼？fa1c0npunc4型
• 你在哪裡遇見你的配偶的？B13週期3
• 你的第一隻寵物叫什麼名字？n0str0d4mu5型

好吧，這些都是很糟糕的例子，但你明白我的意思。如果答案是a）模糊的，b）使用隨機字符，你會立即將帳戶的安全欄設置得更高一點。

那會讓我安全嗎？

更安全，朋友，但不完全安全。

你看，2015年，谷歌發佈了一份有趣的文件，探討了他們在安全問題上的經驗教訓。他們利用幾乎無與倫比的數據集來分析龐大用戶群提出的祕密問題，試圖瞭解這個額外的安全層到底有多有效。

Our ****ysis confirms that secret questi*** generally offer a security level that is far lower than user-chosen passwords. It turns out to be even lower than proxies such as the real distribution of surnames in the population would indicate.Surprisingly, we found that a significant cause of this insecurity is that users often don't answer truthfully. A user survey we conducted revealed that a significant fraction of users (37%) who admitted to providing fake answers did so in an attempt to make them "harder to guess" although on aggregate this behavior had the opposite effect as people "harden" their answers in a predictable way.

為什麼我們試圖撒謊，但卻做得如此糟糕？正如你在上面的圖表中所看到的那樣，大多數受訪者都會給出錯誤的答案，認為這樣會增加他們的安全感。然後，我們可以假設公眾（儘管只是一個巨大數據庫的小快照）確實理解安全問題可以而且將被用來對付他們。

谷歌的研究團隊最終得出結論，安全問題要麼有點安全，要麼容易記住，但這種黃金組合很少找到。因此，“雖然谷歌更喜歡短信和電子郵件恢復，但沒有一種機制是完美的。”

最好的例子

不幸的是，谷歌拒絕提供研究所用數據庫的真實大小。不過，他們證實，“所考慮的數據包含數億個數據點，分析的每個問題都有超過100萬個答案。”考慮到他們估計的用戶基數，這一數字相當可觀。

2016年，美國聯合航空公司（United Airlines）推出了針對其客戶賬戶的最新安全方案。依靠4位PIN碼的舊系統被正確地認為不適用於可能包含數十萬美元飛行里程的賬戶。更新後的系統要求用戶輸入唯一的密碼，並回答五個個人安全問題。

聽起來不錯，對吧？除了聯合航空公司要求他們的客戶選擇一個強大的，唯一的密碼，並回答他們的問題使用預定的答案集。沒錯：命中註定的答案。例如，如果你選擇“你最好的朋友生日是哪一個月”這個問題，你的潛在攻擊者——你猜對了——只有12個答案可以解決。困難時期。

United reason認為，“我們的客戶面臨的大多數安全問題都可以追溯到記錄鍵入內容的計算機病毒，使用預定義的答案可以防止這種類型的入侵。”

安全研究員布萊恩·克雷布斯直接與聯合航空公司IT安全情報總監本傑明·沃恩交談。沃恩說，該公司“正在隨機提問，以混淆那些尋求自動提交答案的機器人程序，而回答錯誤的安全問題將被‘鎖定’，不再被問。”

除此之外，沃恩還向克雷布斯證實，多次嘗試都不成功會導致賬戶被鎖定。因此，用戶必須直接與聯合航空公司溝通，以解鎖他們的帳戶。

傳統智慧

聯合航空公司發現了一個安全漏洞，但他們的答案並沒有完全解決這個問題。正如我們所看到的，回答安全問題的唯一真正安全的方法，就像密碼一樣，是提供真正獨特和隨機的東西。這是在希望潛在的黑客將挫敗的複雜性，並轉移到下一個帳戶。

The finding that the general public is suffering from security fatigue is important because it has implicati*** in the workplace and in people's everyday life. It is critical because so many people bank online, and since health care and other valuable information is being moved to the internet.If people can't use security, they are not going to, and then we and our nation won't be secure.-- Cognitive psychologist and Security Fatigue co-author, Brian Stanton

唉，安全疲勞是一個非常現實的問題。用戶越來越累。安全漏洞和強制密碼重置現在非常普遍，許多用戶只是忽略警報。這種疲勞會導致用戶在家裡和工作場所的危險行為。我們建議：

• 自動化--控制您的安全，自動化掃描、備份等。
• 密碼管理——LastPass或KeyPass中提供的密碼管理解決方案，它們也可以解決您的安全問題。
• 當家作主--您的數據安全是您的責任。我們對持有我們數據的機構抱有很高的期望，這是正確的。也就是說，如果你不在國內採取強有力的安全措施，你將分擔部分責任。

我們寫了大量關於克服安全疲勞的文章。讀一讀，然後重新控制你的安全問題！

你如何回答你的安全問題？你找到最佳點了嗎？還是使用密碼管理應用程序？讓我們知道你的安全問題提示如下！