Контрольные вопросы - слабое звено, с помощью которого легко получить доступ к пользовательским аккаунтам. Обычно этим вопросам никто не доверяет и с их помощью нельзя осуществить взлом. Однако некоторые сайты, и в их числе Mail.ru, не уделяют этому аспекту безопасности должного внимания.

Как сообщает TechnologyReview, по результатам исследования университета Карнеги-Меллон и компании Microsoft выяснилось, что одно из самых слабых звеньев в безопасности пользовательских аккаунтов на различных сайтах - это "секретные вопросы", используемые для восстановления паролей. В 28 случаях из ста человек может ответить на секретный вопрос своего знакомого. Ответ незнакомого пользователя можно все равно угадать с достаточно высокой вероятностью - 17%.

Сайты по-разному используют контрольные вопросы, однако очень редко они являются основным рубежом безопасности – главным образом, из-за известной специалистам ненадежности. Как пояснил аналитик компании "Доктор Веб"Валерий Ледовской, то, что для защиты аккаунтов от несанкционированного доступа слишком большие надежды возлагаются именно на контрольные вопросы, может говорить о пренебрежении администрации сайта к проблемам информационной безопасности. Опасность распространенных стандартных вопросов двояка. Если требуется назвать девичью фамилию матери, эту информацию можно попытаться добыть из открытых источников. Таким образом можно приблизиться к взлому аккаунта конкретного человека. Кроме того, иногда на контрольные вопросы помогает отвечать статистика - понятно, что, например, на вопрос "любимый цвет"ответ "зеленый"будет у статистически значимого количества людей - так можно осуществлять уже серийные взломы.

Следуя словам г-на Ледовского, приходится подозревать в пренебрежении к проблемам информационной безопасности, например, администрацию Mail.ru. При регистрации на Mail.ru необходимо указывать пару "вопрос-ответ", ввода которой будет в дальнейшем достаточно для получения доступа к аккаунту. Это явно небезопасное решение можно объяснить тем, что при заведении почтового ящика пользователь иногда не имеет другого, а механизм восстановления утерянного доступа ему все же нужно предоставить. Более того, если почту заводит неопытный пользователь, если не вынуждать его указывать контрольную пару, он может не придать значения этому полю и не заполнить его, не осознавая, зачем это может быть нужно и насколько это важно - и вскоре попасть в неприятную ситуацию. Контрольным вопросом по умолчанию в Mail.ru является номер паспорта - с учетом нынешней общедоступности паспортных данных этот вопрос должной безопасности не обеспечивает.

Тем не менее, пример Mail.ru показывает, что иногда возникает необходимость регистрации на сайте, вынуждающем пользоваться столь ненадежным механизмом восстановления. В такой ситуации руководитель проекта Bugtraq.ru Дмитрий Леонов рекомендует отнестись к выбору секретного слова так же серьезно, как к выбору пароля. "Если сайт требует контрольный вопрос в обязательном порядке, наиболее разумны два варианта: вбить длинную случайную последовательность символов и забыть о ней, полагаясь на другие средства восстановления через использование резервного почтового адреса; в крайнем случае использовать в качестве ответа не одно слово (и уж точно не слово, имеющее отношение к личной информации) – например, добавить к правильному ответу на сформулированный вопрос цитату из текста любимой песни (хотя этот вариант, как и любой компромисс ради удобства, конечно, менее надежен)", - предлагает алгоритм действий г-н Леонов.

Пока, по словам Валерия Ледовского, фишинговые атаки, ставящие себе целью завладение не паролем, а ответом на контрольный вопрос, являются редкостью - слишком редко паре "вопрос-ответ"отводится значимое место в структуре обеспечения сохранности пользовательских данных. Однако специфика почтовых сервисов вынуждает некоторые из них использовать контрольную пару как последний рубеж безопасности. С учетом того, что, обладая доступом к почте, можно получить доступ ко множеству пользовательских аккаунтов, иметь безопасно сконструированный контрольный ответ ничуть не менее важно, чем пароль.