在2012年初的时候,我得到了人生中的第一台苹果笔记本电脑。当时,我对于苹果设备了解甚少,因此完全没有再购买其他苹果产品的打算。插上电源开机后,第一件事就是创建苹果ID账号。按照要求,我设了密码并选择了几个安全问题。
四年后,我又得到了一部iPad,当然还购买了不少有趣的app(发现其中有些甚至是我同事制作的)。由于我的账号变得”价值连城”,因此开始考虑它的安全保护问题,并决定启用双因素认证保护措施。
事实上这并不容易;我必须回答对全部安全问题,苹果才允许我更改安全选项卡。显然时隔那么多年,我都已经忘记答案了。
无奈之下,我试图更改之前的安全问题,却发现用来执行此操作的二级电邮根本未经过验证。我实在不清楚为何苹果将未经验证的电邮视为有效,但事实就是如此残酷,最后进入了无尽的循环。
我点击了好几次验证电邮链接,但却总收不到确认电邮。情况变得愈加糟糕了。当时无法向技术支持寻求帮助,因此只能采取极端方法—破解自己的安全问题。
我是如何破解安全问题的
我四年前选择的问题并不算难。而且只需浏览我的简历或社交媒体账号,任何人都能找出答案。
— 你的第一份工作在哪里?
领英显然是找出这一问题答案的最好去处。
— 你父母是在哪里遇见的?
我的父母相遇并结婚的地方和我的出生地是在同一座城市。许多人的经历也差不多是这样。而不少人会将自己的家乡城市发布在社交网络上(社交网络通常会要求用户这样做!)。因此这个问题也不安全。
— 你最喜欢的儿童读物是什么?
的确,我在孩童时有几本喜欢的读物,但如果说是最喜欢的话,那一定是《霍比特人》(作者:J.R.R.托尔金)。和其它答案一样,找出来并不难:首先,这本书非常受欢迎。其次,我的大学好友和同学都知道我曾多次写过有关《霍比特人》的学期论文。我当初的半成品论文就是将《霍比特人》这本书翻译成俄文!最后,这一问题的关键变成了标题的长短—《霍比特人》还是《霍比特人:奇境再返》—4年前。
既然我知道所有问题的答案,那为什么总显示错误呢?道理很简单:我账号的主语言是英语,这也意味着安全问题也显示为英文。但四年前我的答案却是用俄文输入的。当我将语言切换成俄文并重新输入一遍答案后,果然全部答对了。就算从未切换过语言,安全问题回答也可能出错:是否有过大小写区分?缩略语?又或是绰号?
因此,我开始考虑如何选择出色的安全问题以及答案。
怎样的安全问题才算好的?如果你必须从给出清单中挑选一个问题,你会选择哪个?
以下五个标准将能帮助我们区分哪些是好的安全问题,哪些则不建议选择。
1.冷门 —选择的问题必须既难猜又难找到。比如,最喜欢的银行—母亲的婚前姓—绝不是好的安全问题。这些问题的答案都很容易被猜出或找到。
2.稳定 —答案必须不会随着时间而改变。避免选择”最爱”问题:最爱的工作、食物、品牌、电影、酒店和度假地这些对象,可能过几年你心里又有其他的选择。
3.容易记 —相比经常输入的密码,回答安全问题的机会可谓少之又少。就算你10几岁的时候还记得自己一年级老师的名字,但当你到了30岁甚至60岁的时候,可能早就忘得一干二净,因此尽量不要选择10-20年后答案容易忘记的问题。
4.简易 —一些问题可以有多个正确答案。你的初吻是在哪里?无论是”纽约”、”纽约市”、”NYC”和”中央公园”都可以是答案。千万不要犯这种错误,尽量避免选择可能有多个答案的问题。
5.选择多重性—只需回答”是”或”不是”的问题最选不得。就算是陌生人也有50%的机会猜对。出色的安全问题的答案存在无限种可能—但只有你是唯一知道答案的人。
小心社交媒体网络钓鱼
你可能遇到过一些社交媒体调查或提问,邀请你玩一把怀旧:分享”最初工作过的7个地方…”或”你的首次飞机旅行…”这些问题可以说是社交工程师的’无价珍宝’。但事实上,背后都有犯罪分子的身影。
只要你愿意,你还可以随心所欲更改某些最差安全问题的答案,这样谁都猜不出—你母亲的婚前姓?XCU*(&S1042! —当然前提你要小心别把自己也弄懵。
当然还有更好的办法,将母亲的婚前姓 Woodhouse用辅音字母表示:wdhs。然后加上出生日期04.08.80就变成了 04wd08hs80。不算很高明,但总比原来的要好很多。
这种方法最适用于那些你常常需要回答的安全问题—例如,经常给你提供服务的银行。如果你必须经常记忆的话,那这类组合将在你的大脑中永远保持新鲜记忆。
当然,相比安全问题,还有更好的方法来保护你账号的安全—比如,双因素认证。