Co dělat v případě, že někdo zapomene heslo? Samozřejmě dáme možnost mu jej zaslat na jeho emailovou adresu. Co ovšem udělat pokud emailovou adresu nemá anebo nefunguje?
Tato situace se často řeší otázkou, na kterou by měl uživatel znát odpověď. Problém však je, že v dnešní době sociálních sítí už není problém znát odpověď i pro útočníka. Existují různé statistiky, které často ukazují, že lze dohledat správnou odpověď až v desítkách procent případů. Navíc u bezpečnostních otázek „Jaké je vaše oblíbené jídlo“ je počet možných kombinací řekněme „značně omezen“.
Pak tu samozřejmě máte tradiční problémy s bezpečnostními otázkami, že odpověď na ně uživatel zapomene hned poté co je vyplní. Jak tedy celou situaci vlastně řešit?
Nejčastěji prostě nijak. Většina uživatelských účtů, na službách, kde nejsou cenné informace prostě nemá cenu řešit a nabídneme uživateli možnost založení nového účtu. Samozřejmě pokud se jedná o službu, která obsahuje cenná data většinou máme i alternativní možnosti řešení, právě na základě těchto cenných dat. Například eshopový účet s nějakými naspořenými kredity, většinou obsahuje i telefonický kontakt, číslo bankovního účtu a samozřejmě adresu. Všechny výše zmíněné informace umožňují poměrně důvěryhodnou metodu identifikace uživatele.
Ovšem můžeme se dostat do problému, kdy máme řekněme ne příliš hodnotnou službu, která však pro samotného uživatele je velice cenná. Například herní účet k online hře, na které uživatel strávil stovky hodin. Co v takovém případě? Samozřejmě si ověříme že má nefunkční emailovou adresu. Následně musíme pracovat s tím co máme k dispozici. Pokud si loguje například IP adresu přístupu můžeme toho využít jako vodítko. Bez detailnější prací s daty se však neobejdeme. Musíme mu položit takové otázky k jeho účtu, které zná jen on. I tak však nemusíme být úplně spokojeni s odpovědí.
Z dlouhodobého hlediska se tedy vyplatí uživatele motivovat ať využije možnost dvou faktorového ověření anebo si alespoň nechá ověřit telefon pro případ ztráty hesla. Určitě nezadávat nějakou bezpečnostní otázku.
Samozřejmě máme tu i poměrně exotická řešení jako například záložní emailovou adresu. Když se nad tím zamyslíte, tak to je spíše špatná cesta, protože šance, že vám zkompromitují jednu ze dvou emailových adres je větší než pouze tu jednu. Zvláště pokud jsou u té druhé nižší nároky na bezpečnost.
Pak tu máme ještě speciální bezpečnostní cookie, do kterého se ukládá aktivita o přístupu na stránky z konkrétního prohlížeče. Při snaze obnovit si heslo, se zároveň odešlou i data z tohoto koláčku. Nápad super, protože ten kdo se přihlásí 10x za měsíc ze stejného prohlížeče, zřejmě je i jeho majitelem. Jenomže celá akce vzala za své, když se zjistilo, že data ukládána v tomto cookie byla nešifrována.
Nejlepší je prostě email a ověření přes telefon. Dvě naprosto odlišné metody. Ověřovací kód přes telefon je něco jiného než bezpečnostní otázka. Jenomže touto cestou se spoustě majitelům služeb jít nechce, protože je spojena s poplatky.
Tento článek byl byl přečten 2150 krát