Почта Mail.Ru: секретный вопрос — ненадежная защита аккаунта

Почта Mail.Ru усиливает защиту электронных ящиков, отказываясь от секретного вопроса. Теперь он не предлагается новым пользователям, а также тем, у кого настроены альтернативные способы восстановления доступа к ящику, например, привязка к номеру мобильного телефона.

В течение многих лет восстановление доступа к почтовому аккаунту через ответ на секретный вопрос считалось обычной практикой в интернет-отрасли, и многие пользователи до сих пор выбирают именно этот метод. Однако очевидно, что с точки зрения безопасности секретный вопрос является слабым местом.

Во-первых, не все задумываются о том, что ответ на секретный вопрос – это не просто слово, которое поможет им восстановить доступ к аккаунту, а по сути такой же пароль (а значит, он должен отвечать тем же требованиям по сложности и уникальности). Соответственно, к выбору ответа на секретный вопрос обычно более легкомысленный подход. Во-вторых, вариантов ответа на каждый секретный вопрос по определению гораздо меньше, чем возможных вариантов паролей — сама формулировка вопроса содержит подсказку для потенциального злоумышленника. Теоретически ничто не мешает пользователю в качестве «любимого блюда» назвать «дефлопе», несуществующее слово или даже уже один, сопоставимый с основным по сложности пароль, но с большей долей вероятности он выберет более предсказуемый вариант, например, «борщ» или «пельмени».