Bezpečnostní otázka

Bezpečnostní otázka je typ sdíleného tajného klíče používaný jako přídavná bezpečnostní vrstva pro autentizaci uživatele.

Přesněji jde o pár: otázka – odpověď, z nichž otázka, zpravidla osobního charakteru, může být fixní nebo volitelná z omezené množiny (při registraci), odpověď uživatel vyplní při registraci. Příklady bezpečnostních otázek:

• rodné příjmení matky
• místo narození matky^{[pozn. 1]}
• nejlepší přítel z dětství
• jméno prvního domácího mazlíčka
• oblíbený učitel
• oblíbená historická postava
• povolání dědečka

Odpovědí je, předpokládá se, pravdivá odpověď na bezpečnostní otázku. Nejde však o obsah samotné odpovědi ve smyslu poskytování osobních údajů. Princip bezpečnostní otázky je v tom, že se týká věci o které se předpokládá, že k ní má uživatel citový vztah a je tudíž velká pravděpodobnost, že uživatel odpověď na otázku nezapomene.

Díky této vlastnosti se bezpečnostní otázka používá zejména pro možnost obnovení zapomenutého hesla.

Na druhou stranu, právě kvůli uvedeným vlastnostem zde existuje bezpečnostní problém, protože zejména blízké osoby uživatele mohou odpověď znát nebo uhodnout, je také snadněji zjistitelné sociálním inženýrstvím než heslo. Někteří bezpečnostní odborníci proto tvůrcům systémů používání bezpečnostních otázek nedoporučují, (zdatnějším) uživatelům zase doporučují „falešnou“ bezpečnostní odpověď.^[1][2]

Odkazy

Poznámky

1. tento a následující příklady jsou vzaty ze systému eRecept (k červnu 2018)

Reference

1. The Curse of the Secret Question. Schneier on Security [online]. 2005-02-11 [cit. 2018-06-28]. Dostupné online. 
2. Time to Kill Security Questions—or Answer Them With Lies. WIRED [online]. 2016-09-28 [cit. 2018-06-28]. Dostupné online.