為什麼Gandi不再使用安全提示問題？ - iThome

Google 發現40% 的美國用戶不記得他們安全提示問題的答案，有9% 的用戶是設定“非常困難” 的問題，像是借書證號碼，這意味著這些用戶最終都得與客服團隊 ... 移至主內容 文/廠商新聞稿 | 2020-07-11發表 您母親的姓氏是什麼？您最喜歡的食物是什麼？多年來，每當Gandi用戶忘記密碼，而用戶又曾經在其帳戶中啟用“安全提示問題”的功能時，用戶就必須回答那些“安全提示問題”以重設其密碼。

然而，此功能將不再使用。

在我們的新介面中，我們不再使用安全提示問題。

那會怎樣嗎？您的帳戶變得比較不安全嗎？為什麼我們要停用安全提示問題呢？ 以認知為基礎的身份驗證 安全提示問題或是“基於您的認知所產生的身份驗證(KBA)”的形式。

也就是說，此驗證身份的信息是基於“只有”要被驗證身份的那個人才知道的資訊。

KBA–特別像是您母親的姓氏，長久以來一直是銀行業的主要安全提示問題。

邏輯是出納員可以用詐騙者不太可能知道的問題去質問要提款的可疑人士。

以國外為例，在有臉書出現之前（更不用說女性必須從父性，或是婚後必須要換成夫姓的那個年代），外人很少能夠得知女性那邊的家人姓氏。

而且，通常可能是詐騙者的人都不會預料到這種問題。

KBA因而成為金融業的標準操作流程，它被使用來驗證要進行各種交易的人的身份，並且隨著銀行業和世界其它地方的使用，此安全問題慢慢地開始被廣泛使用， 當所有人開始使用KBA後，很快地每個人都對母親的娘家姓氏這個問題非常熟悉。

KBA最後甚至被美國國家標準與技術研究院(NIST)等組織建議使用，這些組織通常被視為主要的數位安全標準的權威。

因此，在把銀行業的安全性問題應用到重設密碼的問題上時並沒有那麼大的差異。

備用密碼 傳統上，當您忘記密碼時，您主要的方式是聯繫客服團隊，然後客服團隊會透過電話或電子郵件的方式去驗證您的身份，然後手動重置您的密碼。

您必須等待客服團隊的上班時間、然後等待他們的回覆，這個過程不只使試圖想登入帳號的用戶感到焦慮和沮喪，同時，驗證用戶的身份也會消耗客服人員許多時間上的成本。

. 這也可能是為什麼安全提示問題在今日成為如此熱門的取回密碼的功能之一，而且此功能還得到NIST等組織的強力推薦，這也是為什麼此功能成為Gandi密碼回復系統的額外選項之一。

然後，安全提示問題就被用來作為取回密碼的方式之一，變成是一種“備用密碼”的概念。

如果您想不起來您的密碼，那麼您可能就只要記得您最喜歡的食物就可以取回您的密碼。

這樣您就可以看到問題出在哪了。

誰不喜歡披薩？ 如果您把安全提示問題是作為您的備用密碼，那麼設定一組真正密碼的用意在哪呢？將安全提示問題作為備用密碼，實際上只是降低您的帳戶的安全性。

畢竟，“母親的娘家姓氏”這類的事實並不是針對攻擊事件所設計的最高機密的信息。

舉ParisHilton為例，她的手機在2005年遭駭客破解，而當時被破解的安全提示問題是“您最喜歡的寵物叫什麼名字？”（Hilton的吉娃娃Tinkerbell，就是當時她在社群媒體上被廣受喜愛的主要內容）。

但是即使您沒有公開的角色，或者您不使用“母親的娘家姓氏”等容易找到答案的問題，但如果您選擇“最喜歡的食物”，也不表示您會更安全。

在2015年時，Google公佈一項安全提示問題的研究（https://research.google/pubs/pub43783/），他們發現在“您最喜歡的食物是什麼？”的問題中，有20%的答案是“pizza”。

錯誤的安全感 那什麼樣的問題比較難呢？Google發現40%的美國用戶不記得他們安全提示問題的答案，有9%的用戶是設定“非常困難”的問題，像是借書證號碼，這意味著這些用戶最終都得與客服團隊聯繫以取得解決辦法。

Gandi的密碼回復系統從未有過這樣的問題，因為我們不會將安全提示問題作為備份密碼。

我們只會在猜對答案後發送密碼重置郵件到帳戶所有權人的電子信箱中，而不會向其提供帳戶的訪問權限。

當使用者無法記得他們安全提示問題的答案時，他們就會猜答案，然後最後聯繫客服團隊。

那麼所有問題總結下來的結論是，安全提示問題根本無法提供任何額外的安全保護。

充其量，它們給了您錯誤的安全感。

在最壞的情況下，他們會使得本來的流程更加繁複。

為什麼我們不再使用安全提示問題 基於上述所有理由，安全提示問題不再被NIST或如CERT-FR之類的權威機構推薦，因此當Gandi在建構新的介面時，也選擇不再使用這種安全機制。

多重認證 如果安全提示問題並不安全，那什麼才安全呢？我們建議使用多重認證。

身份驗證“因素”是用於驗證某人身份的一種憑證（https://news.gandi.net/zh-hant/2019/01/secure-your-domain-with-two-factor-authentication/?pk_campaign=iThome_news）。

這些類別通常被概括為：您知道的東西、您擁有的東西，或關於您個人的身份。

如果您的安全性倚賴一組密碼以及一個安全提示問題，那就只是“您知道的東西”或是“您認識的東西”。

Gandi提供提供基於多重“因素”的雙重驗證（https://docs.gandi.net/zh-hant/account_management/security/security_key.html?pk_campaign=iThome_news），您知道的東西（一組密碼）以及您擁有的東西（計時的一次性密碼或USB密鑰），或是關於您個人身份的東西（例如指紋識別器等生物識別技術）。

若您的Gandi域名有任何相關問題，請不吝透過後方連結與我們的客服團隊聯繫：https://help.gandi.net/。

GandiNews原文網址：https://news.gandi.net/zh-hant/2020/07/why-we-retired-the-security-question/?pk_campaign=iThome_news 熱門新聞 微軟釋出Windows1022H2 2022-10-19 iOS16依然繞過VPN建立連線，洩露用戶資訊 2022-10-18 Fortinet坦承軟體重大漏洞有多起攻擊，且為數眾多的用戶仍未修補 2022-10-18 漢莎航空禁AirTag政策不到一周急轉彎 2022-10-17 25萬名美國陸軍將改用GoogleWorkspace 2022-10-18 政院將修正禁用中國資通產品條例，例外使用需經資安長同意 2022-10-19 荷蘭智取勒索軟體集團Deadbolt，利用比特幣交易空窗獲得逾150個解密金鑰 2022-10-17 研究人員發現幾乎無法偵測到的PowerShell後門程式 2022-10-20 Advertisement 2022iThome鐵人賽 專題報導 2022臺灣資安大會特別報導：人才篇 2022臺灣資安大會特別報導：企業篇 【記憶體「大共享池」時代來臨】CXL崛起！帶動伺服器架構革命 【日本最大電信災情！KDDI事故的三堂課】電信關鍵基礎設施大斷線 iThome2022資安大調查（下） 更多專題報導