January 24th, 2011

white

Девичья фамилия

Снова поднята проблема нестойких паролей. В связи с уголовным делом виртуального маньяка-извращенца. В отличие от извращенца из реального мира, этот подглядывал не в окна, а в чужие почтовые ящики. А взламывал их при помощи "контрольного вопроса для восстановления пароля".


— До сих пор не могу вспомнить, как зовут моего домашнего питомца. Помню лишь, что когда-то он был сисадмином и отказывался восстановить мой пароль.
В очередной раз спрашивают: какой смысл убеждать/заставлять пользователя выбрать себе стойкий длинный пароль? Если аккаунт всё равно открывается при помощи незамысловатого вопроса типа "Ваше любимое блюдо?", у которого пространство перебора неизмеримо меньше, чем у самого простенького пароля. А можно даже не перебирать, а просто посмотреть ответ в социальной сети, что наш маньяк и делал.

Очевидная вредность подобной процедуры восстановления пароля натыкается на аргумент: а какова альтернатива?

Наши уважаемые читатели, возможно, оценивают альтернативу по своей ситуации. Сто пользователей в офисе, каждому из них раз в год не западло сходить к сисадмину за свежим паролем. Но речь идёт о системах с миллионами пользователей. По неумолимой статистике, каждый день несколько десятков тысяч человек хотят восстановить забытый пароль. Сотни и сотни админов – только на одну эту задачу; таких расходов ни один провайдер не потянет. Без автоматической процедуры тут никак не обойтись.

А для автоматической процедуры восстановления необходимо задействовать некую конфиденциальную информацию, которую пользователь ни за что не забудет. Что тут ещё подойдёт, кроме интимных персональных данных?

Мой вариант ниже (белым цветом на белом фоне):

IP-адрес, с которого осуществлялись удачные аутентификации в прошлом
+ кука
+ идентификационная строка браузера
+ узнавание цитаты или адресата из произвольно выбранного личного письма.

Например.

«Ваш браузер опознан успешно. Для завершения процедуры аутентификации напечатайте ниже пропущенное слово из вашего ответного письма, отправленного позавчера адресату Т.С.:
"...а день такий у нас, який i у Вас, за це поцелуй в ______ нас!" »