Comment je garantis mes comptes en ligne en disant des mensonges

C'est l'année 2025 et, malgré tous nos gestionnaires de mots de passe et noskkeys, le vol de compte en ligne est toujours courant. Une façon dont je me protège de ces attaques est la tradition séduisante de dire des FIB.

Que sont les questions de sécurité?

Les questions de sécurité sont une forme de MFA (authentification multi-facteurs), où, après avoir saisi un mot de passe, vous vous attendez également à répondre à une question que « vous seul sauriez ». Ce sont des faits comme le nom de votre premier animal de compagnie ou de la ville où vous êtes né. Ils sont l'une des plus anciennes formes de MFA sur Internet grâce à leur simplicité.

Malgré leur âge, et malgré de meilleures méthodes de MFA étant entrées dans le courant dominant, les questions de sécurité sont toujours courantes sur Internet. En fait, j'ai dû faire un compte important la semaine dernière qui a nécessité la création de trois questions de sécurité différentes. Pour ma propre sécurité, je n'y ai pas répondu honnêtement.

Pourquoi les questions de sécurité ne sont pas en sécurité

Bien qu'ils soient une méthode simple de MFA, les questions de sécurité sont juste aussi simple. Ils comptent trop sur une fausse prémisse: que ces questions sont à celles que je pourrais répondre. Beaucoup de gens connaissent le nom de naissance de ma grand-mère, par exemple. C'est dans les archives judiciaires, les documents d'ascendance, les nécrologies publiées et qui sait où d'autre.

J'ai remarqué que de nombreuses questions de sécurité supposent en quelque sorte que vous n'avez pas grandi avec Internet. Si vous aviez Internet lorsque vous étiez jeune, les blogs et les médias sociaux en particulier, il y a de bonnes chances que vos articles sur votre premier animal de compagnie flottent toujours là-bas. En fait, je sais exactement où vous pourriez regarder sur Internet pour répondre à des questions comme ça à mon sujet.

Vous pouvez appeler cette intelligence open source, souvent raccourcie en OSINT. Si vous en savez beaucoup sur OSINT, vous savez à quel point il est facile de trouver une connaissance intime de quelqu'un sur Internet à l'aide d'outils simples.

En plus de parcourir Internet, briser les questions de sécurité est aussi simple que d'avoir une conversation avec moi ou quelqu'un de proche. Cela s'appelle l'ingénierie sociale. Par exemple, quelqu'un pourrait imiter une figure d'autorité, comme un agent fiscal, et me demander de « confirmer mon identité » en répondant à une question comme le nom de naissance de ma grand-mère. Pour éviter de compromettre vos questions de sécurité, vous devez être constamment sur votre garde contre ce genre d'attaques sournoises.

Nous pouvons aller encore plus loin, cependant. Supposons que vous et tous ceux qui vous connaissent sont sages pour l'ingénierie sociale. Vous devez également faire face au fait que les gens qui savent que vous pouvez en profiter. Demandez à tout survivant des abus: ce n'est pas parce que quelqu'un est proche de vous qu'il est une personne digne de confiance. L'hypothèse selon laquelle une personne seule assez proche de vous pour connaître les réponses à vos questions de sécurité peut également être fiable avec l'accès au compte est une autre fausse prémisse des questions de sécurité.

La meilleure option pour les questions de sécurité: mentir

Avec tout cela à l'esprit, j'ai cessé de répondre aux questions de sécurité honnêtement. Si je suis obligé d'utiliser une question de sécurité pour empêcher mon compte de compromettre, je réponds à la question par une réponse inventée et étrange. Où suis-je né? Narnia. Quel a été mon premier animal de compagnie? Un renne nommé Bob. Ce ne sont pas des réponses que j'utilise, bien sûr, mais vous avez l'idée.

Certaines personnes vont plus loin et ne mette rien, même reconnaissable comme un mot dans une réponse de question de sécurité. Quel était le nom de naissance de votre grand-mère? H41% Hg67VC0S5 ^ JQ, peut-être. Ce serait comme avoir un mot de passe solide secondaire, et cela rend votre question de sécurité résiliente contre les attaques de dictionnaire. Je ne suis pas convaincu que c'est totalement nécessaire, cependant, car le fournisseur de mes comptes en ligne verrouille probablement mon compte si quelqu'un essaie plus que quelques suppositions sur une question de sécurité.

Maintenant, tu devrais pas Faites tout cela si vous ne faites pas complètement confiance à la mémorisation de vos réponses. Les questions de sécurité traditionnelles ont un grand avantage: ils sont faciles à retenir. Alonger vos questions de sécurité enlève cet avantage, car maintenant vous devez mémoriser des faits inexacts sur vous-même.

Cela pourrait aider à écrire ces réponses, peut-être sous la forme d'un arbre généalogique ou d'une nouvelle qui décrit une vie fictive. Si vous êtes comme moi, dessiner des images de ces personnes fictives, des lieux et des animaux de compagnie vous aideront aussi.

Bien sûr, vous voudrez vous assurer que tout ce que vous écrivez est stocké dans un endroit sûr. Vous pouvez les stocker dans votre gestionnaire de mots de passe ou, pour une sécurité supplémentaire, un gestionnaire de mots de passe distinct. L'important est que vous ne perdez jamais accès à votre compte tout en conservant sa sécurité.