روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛در اوایل سال 2012، من یک مک بوک خریدم. در آن زمان چیزهای کمی در مورد گجت ها می دانستم و برنامه ریزی دیگری برای گرفتن یک دستگاه دیگر اپل نکرده بودم. در آن موقع من کار با لپتاپ را شروع کردم و یک اپل آیدی ایجاد کردم. همانطور که درخواست شده بود یک پسورد امنیتی و چندین سوال امنیتی را برایش انتخاب کردم.
چهار سال از آن روزها می گذرد و حالا من یک آیپد هم دارم و البته چندین برنامه ی جالب را خریداری کرده ام. طبیعتا امنیت حساب برای هر کسی مهم است و من هم در مورد امنیت و محافظت از آن فکر کردم و پس از آن تصمیم گرفتم احراز هویت دومرحله ای را فعال کنم.
اپل به من اجازه هیچ گونه تغییراتی را در تب امنیتی تا زمانی که به پرسش هایش به طور کامل پاسخ دهم نداد. و پاسخ هایی که من دادم هیچ مطابقتی با پرسش ها نداشت.
هنگامی که من سعی کردم پرسش های امنیتی را تغییر دهم، متوجه شدم که ایمیل ثانویه ای که برای انجام چنین عملیاتی استفاده می شد، تایید نشده بود. هنوزهم در این رابطه هیچ نظری ندارم که چرا اپل یک ایمیل تایید نشده را به عنوان راه چاره برایم در نظر گرفته بود.
من بر روی لینک بازبینی ایمیل چنیدین بار کلیک کردم اما هیچ تاییدیه ای برایم ارسال نشد. همه چیز اشتباه به نظر می رسید. آن لحظه زمان خوبی برای درخواست کمک از پشتیبان فنی نبود و من تنها یک راه داشتم و مجبور شدم به سوالات امنیتی پاسخ دهم.
چگونه من سوالات را هک کردم؟
سوالاتی که من چهار سال پیش انتخاب کرده بودم چندان هم سخت نبودند. اما در رابطه با پاسخ هایی که برای آن ها در نظر گرفته بودم، متوجه شدم که هر کسی می تواند با توجه به آنها به CV و یا حساب کاربری شبکه های اجتماعی من دست یابد.
- اولین کار شما در کجا بود؟
لینکدین مکانی آشکار بود که برای پاسخ به این پرسش یافته بودم.
- پدر و مادر شما کجا باهم آشنا شدند؟
زمانی که پدر و مادر من جوان بودند باهم آشنا شدند. و در همان جایی که من به دنیا آمدم ازدواج کردند. خیلی از افراد داستان زندگی این چنینی دارند و اکثر افراد این داستان ها را بر روی صفحات اجتماعی خود می گذارند و فکر نمی کنم که خیلی مهم و سوالی امن بوده باشد.
- کتاب مورد علاقه فرزندان شما چیست؟
چندین کتاب فوق العاده برای پاسخ به این پرسش وجود داشت اما من کتاب The Hobbit را از J. R. R. Tolkien معرفی کردم. مثل دیگر پاسخ ها، این یکی هم محرمانه محسوب نمی شد. اولا که کتاب شی عمومی است ثانیا دوستان دانشگاه و همکلاسی هایم همگی می دانند که من چند مقاله در مورد این کتاب نوشته ام. نیمی از پایان نامه من به 11 ترجمه از کتاب The Hobbit در روسیه اختصاص داده شده بود. و در آخر، تنها رمز و رازی که می توانست وجود داشته باشد این بود که آیا من عنوان کوتاه آن را در چهار سال گذشته نوشته بودم یا کامل آن را؟" The Hobbit یا There and Back Again"
اگر من تمام پاسخ ها را می دانستم پس چرا سوالات با پاسخ ها هیچ گونه مطابقتی نداشتند؟ ساده است، من زبان انگلیسی را به عنوان زبان اصلی حساب کاربری ام انتخاب کرده بودم به این معنی است که سوالات امنیتی هم انگلیسی به انگلیسی نمایش داده می شدند اما چهار سال پیش من به زبان روسی به آن ها پاسخ داده بودم. و وقتی من زبان را تغییر دادم و همان پاسخ های را دادم آنها باهم مطابقت داشتند. اما اگر برای کسی که زبان را تغییر نمی داد ممکن بود پاسخ های امنیتی گیج کننده باشد. شما چه چیزی را برای پرسش ها انتخاب می کنید؟نام کاربری؟اختصارات؟
من شروع به فکر کردن در مورد ساخت پرسش و پاسخی امن بودم.
یک سوال امنیتی خوب چیست؟ اگر شما مجبور به انتخاب یک سوال از یک لیست باشید کدام را انتخاب می کنید؟
5 معیار به ما کمک می کند تا سوالات خوب را از سوالات بد تشخیص دهیم.
- ابهام: حدس یا محقق ساختن پاسخ ها باید سخت باشد. به عنوان مثال: یک بانک مورد علاقه، نام مادر شما، و غیره.
- پایداری: پاسخ ها نباید در طول زمان تغییر کنند. از پرسش هایی مانند "علایق" بپرهیزید. شغل مورد علاقه، غذا، گروه، فیلم، رستوران و تعطیلات که ممکن است در طی زمان کوتاه تغییر کنند.
- به خاطرداشتن: ما اغلب پسوردها را به یک شکل وارد می کنیم. اما برای پاسخ به سوالات امنیتی نباید اینگونه باشد. حتی اگر نام معلم اول ابتدایی خود را در هنگام بزرگسالی خود هم بیاد بیاورید ممکن است آن را در سن بالاتر فراموش کنید. یا مثلا در سن شصت سالگی خود. بنابراین سعی کنید سوالاتی را انتخاب کنید که به این راحتی ها آن ها را فراموش نکنید.
- وضوح پاسخ ها: برخی سوالات باید پاسخ هایی دقیق و واضح داشته باشند که براحتی نتوان آن را حدس زد و دقیق به آن ها پاسخ داده شود. مثلا اولین قرار ملاقات شما کجا بود؟ که ممکن است در "New York " ،"New York City "، "NYC" و "پارک مرکزی " یا چنیدین گزینه ی دیگر باشد.
- انتخاب متعدد: سوالاتی که نیاز به پاسخ هایی مثل "بله" یا "خیر" دارند وحشتناک ترین سوالات هستند. یک غریبه به راحتی می تواند با احتمال 50% به آن درست پاسخ دهد. سوالات امنیتی خوب باید اما و اگر زیادی داشته باشند و شما باید تنها کسی باشید که پاسخ آن را می دانید.
مراقب فیشینگ های صفحات اجتماعی باشید
به احتمال زیاد تا به حال باید دیده باشید که در بررسی های اجتماعی یا آزمون ها از شما دعوت به بازگویی گذشته تان کرده باشند و آن را به صورت اشتراک گذاری مثلا 7 جایی کار می کردم یا اولین سفر هواپیمایی مطرح می کنند. این اطلاعات همانند گنجی برای مهندسان اجتماعی است. درواقع، پایان کار آن ها به مجرمان سایبری ختم می شود.
اگر شما مایلید می توانید سوالات امنیتی خود را که اکنون متوجه شدید مناسب نیستند تغییر دهید، حتی اگر تا به حال هیچ کسی آن ها را حدس نزده است. نام مادر شما چیست؟ XCU*(&S1042! خوب است اما این را هم در نظر بگیرید پاسخ ها به گونه ای باشند که خود شما را گیج نکنند.
یک گزینه مناسب وجود دارد و آن هم اختصار کلمات است مثلا از اول هر کلمه حرف اول آن را انتخاب کنید مثلا جایی را که برایتان ارزشمند است را مثل Woodhouse و strip می توانید wdhs را در نظر بگیرید. یا تاریخ تولد خود را با آن تلفیق کنید: 04.08.80 و به این "04wd08hs80" صورت درآورید. این ترفندی بینظیر است که فقط شما از آن باخبر خواهید بود.
در هر صورت راه های بهتری نسبت به پرسش و پاسخ های امنیتی برای شما وجود دارد. که یکی از آن ها احراز هویت دو مرحله ای است.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.