Why you should lie in your password-recovery questions

場合によっては、嘘をつくことが最も安全な選択となる場合があります。

めったに使用しないオンライン アカウントにログインしようとして、パスワードを忘れてしまったという経験は誰しもあるでしょう。パスワードを回復する時期が来ました。気が付くと、あなたは初めて飼ったペットの名前や 3 年前のお気に入りの映画を思い出そうと頭を悩ませています。あなたはすでにめちゃくちゃになっています、ただあなたの考え方が違うだけです。

結局のところ、あなたの最初の間違いは、最初からこれらの愚かなセキュリティの質問に正確に答えたことでした。パスワード回復用の質問の考え方はシンプルです。ログイン資格情報を忘れた場合でも、アカウントにアクセスするためのバックアップ方法があります。問題は、これらの小さなセキュリティ上のハードルを通過するために必要な情報が、Google 検索で簡単に見つかることが多いことです。

元副大統領候補サラ・ペイリンに聞いてみてください。 2008年、20歳の大学生ペイリンのYahooメールに侵入したアカウント。彼は、インターネットを使用して彼女の郵便番号と誕生日を特定し、パスワード回復ツールを介して彼女のパスワードをリセットすることでこのタスクを達成しました。

基本的に、彼はただ Google で彼女のアカウントにアクセスしただけです。

私たちはペイリン夫人のために特別な涙を流したわけではありませんが、学んだ教訓は依然として痛みを伴うものです。パスワード回復の質問に正直に答えると、ハッキングされる可能性が高まります。これは誰もが知っていることですが、依然として多くのサービスでは、アカウントを作成するために愚かな質問に答える必要があります。

もちろん、これを回避する方法はあります。嘘。

ただし、本題に入る前に、簡単な注意事項があります。一意のパスワードを使用する必要があります。一つ一つあなたが持っているオンラインアカウント。これは、Twitter、Gmail、Reddit、Netflix、Spotify、およびその他のオンライン サービスで使用するものとは異なるパスワードです。なぜなら、あるプラットフォームがハッキングされると（そして常に何かがハッキングされるのですが）、悪意のある攻撃者は、たとえば、次のようなハッキングを利用するために、クレデンシャル スタッフィングと呼ばれるもの、つまり、あるサービスから盗んだ電子メールとパスワードの組み合わせを他のオンライン サービスに入力することを試みることが多いからです。あるダンキンドーナツ誰かの銀行口座への不正アクセスに関与する可能性があります。

確かに、これらの固有のパスワードをすべて記憶するのは困難です。このため、パスワード マネージャーを使用する必要があります。のようなサービスラストパスそして1パスワード強力なパスフレーズを 1 つ覚えておくだけ (そして多要素認証を使用する) だけで、残りの作業は自動的に実行されます。

パスワード マネージャーには、セキュリティを重視する人向けの便利な機能がもう 1 つあります。具体的には、LastPass や他の同様のサービスに「安全なメモ」を保存できます。

つまり、覚えておく必要があるのではなく、本物パスワード回復に関する質問への答え — その過程でサラ・ペイリン風のハッキングにさらされる可能性があります — ランダムな意味不明の言葉をでっち上げても構いません (または、さいの目皿さらに安全なものを作成するため）。

そうすれば、パスワードを忘れて回復用の質問に答えるように求められたときはいつでも、パスワード マネージャーにログインして架空の答えを引き出すことができます。

もちろん、パスワード マネージャーを使用している場合、そもそもそのような状況に陥ることはおそらくありません。