> Секретный вопрос - это самая дурацкая анти секьюрная фича.

Не, самая дурацкая антисекьюрная фича - это сами публичные почтовые сервера. ;)

> Именно так был взломан и ящик кандидата в вице-президенты США Сары Пэйлин пару лет назад.

Чтобы держать переписку участника избирательной кампании такого ранга у гугла/яху/яндекса за пазухой, надо быть редчайшим идиотом. Хорошо, что взломали и хорошо, что не избрали, идиотов к рулю ядерной державы допускать нельзя.

На кого именно? На Жириновского? На Шандыбина? На Человека Грызлова? ;)

А там кто-то чем-то рулит вообще?

Исполнительная? Однозначно. Причём вдвойне - что по конституции, что по понятиям.

В избирательной кампании такого уровня у участников такого уровня не бывает ничего личного. Что на примере этой дамы, кстати, демонстрировали крайне интенсивно всю дорогу.

Ну, скандал вокруг Tor'а вообще феерия в этом смысле.

Верить нельзя никому. Даже себе. Мне - можно! ;)

Напомню, речь не о славном парне с никнеймом "Пушистый", коих (при всём уважении) на mail.ru мириады, а о претенденте на пост заместителя и.о. князя мира сего. Который, вдобавок, с лёгкостью необычайной (учитывая преклонный возраст патрона в частности и неоднократно имевшие место прецеденты вообще) продвигается в ферзи без всяких дополнительных выборов.

Стандартными вопросами я никогда не пользуюсь. Один из самодельных, которым я пользуюсь: "Gate of sorrows?"

Удачи во взломе.

Я даже могу сказать, что это из названия рассказа Киплинга "Gate of hundred sorrows" про курение опиума, и никого, кроме меня, это не приблизит к ответу ни на шаг.

Естественно, это нечто совершенно личное, как и предполагалось в концепции секретных вопросов :-)

социальная инженерия действует при любых степенях защиты )

случайную последовательность букв и цифр полезно записать на бумажку и положить в сейф .. туда же, куда основной пароль

ещё лучше - анонимная банковская ячейка

в этой стране (тм), насколько я знаю, нет анонимных банковских ячеек
поэтому пользуюсь сейфом в конторе и дополнительным шифрованием

вопрос в том, во сколько вы оцениваете потерю своих аккаунтов

если эта сумма меньше, чем аренда или покупка сейфа, тогда смысла нет

War games
Недетские игры - Бишофф Дэвид
Классика

Замечу, что это та самая группа о безопасности, сам факт существования которой поражает меня.

Проще говоря, они дают советы, например, как создать секьюрный пароль, тем, кто а) зарегистрировался б) нашел линк "техподдержка" в) нашел в дебрях техподдержки ссылку на группу по безопасности и г) перешел туда.

С учетом, что львиная доля пользователей данного сайта не имеет ни малейшего представления о безопасности, не худо было бы сделать так, чтобы еще ДО создания пароля человека допускали к этим страницам и вообще рекомендовали их прочтение. Потому как вероятность, что кто-то прочитает это по собственному почину, как мы видим из пунктов от а до г, ничтожно мала.

Да и вообще ни один рядовой пользователь по собственному почину без крайней нужды не пойдет изучать инструкции "как создавать пароль", когда у него пароль уже создан.

Впрочем, мы обо всем этом писали. С цифрами и выводами. http://webplanet.ru/knowhow/security/igor-krein/2009/08/03/vkontakte_password.html

Из этого вы делаете вывод, что лучше инструкции спрятать и открыть только для зарегистрированных пользователей?

Кроме того, сколько бы нам не приходилось с коллегой писать о безопасности вконтакте, статьи имели огромную посещаемость. Что несколько противоречит тому, о чем вы говорите. Некоторые обижаются - факт. На врачей тоже обижаются, когда они говорят людям, что у них венерическое заболевание. Но это не повод не лечиться.

Спасибо, Капитан Очевидность! Вы раскрыли мне глаза!

>Секретный вопрос - это самая дурацкая анти секьюрная фича.
Если Вопрос стандартный (питомец, школа, телефон, девичья фамилия мамы и пр.) то это да. Вот если сам вопрос придумываешь и ответ, то уже секьюрно.

Спасибо.

детский сад на выезде. :)

Нуууу... В большой степени такие проблемы обеспечиваются идиотизмом стандартных секретных вопросов - в конце концов, при большом желании имя домашнего животного или девичью фамилию матери узнать можно, вообще ни о чем человека не спрашивая. А если подобрать что-то более сложное, вот такие штуки уже не прокатят. Например: как зовут самого симпатичного тебе второстепенного персонажа твоей самой нелюбимой книги третьего (по степени любви) из твоих любимых европейских писателей-мужчин? Тоже не совсем безопасно, но тут уже сформулировать неподозрительный наводящий вопрос куда сложней. Или принцип "выбери ассоциацию": выпечатываешь, скажем, определенный запах или звук (с ними ассоциации лучше всего возникают), и пишешь, с чем или кем он у тебя ассоциируется. Тут взломщики вообще голову сломают - ну как узнать, что запах тухлой рыбы у меня ассоциируется с кирпичным домом на углу, мимо которого я проходил однажды, когда там так пахло? :) То есть, конечно, нет такой системы безопасности, которую не мог бы сделать бесполезной имеющий полный доступ к управлению ею профан... но все-таки секретные вопросы можно было бы сделать куда более безопасными.

Видео похоже на первоапрельскую шутку, уж очень легко она повелась. Хотя показательно.

Секретный вопрос очень даже полезен, если ответ на него непрямой.
Например:
"Как зовут вашего попугая Кешу?" - Это подсказка для самых недалеких пользователей.
"Как зовут вашего попугая?" - это уже посложнее.
"Как зовут того, кто проживает вместе с вами?" - это третий уровень защиты для хакеров с бронзовым дипломом. Проживать с человеком могут даже клопы, тараканы или его любимый компьютер по имени "ПиСя"(PC).
Но более полезны косвенные вопросы, который могут вызвать воспоминания только у того, кто причастен.
"Как насчет пивка?"
И тут начинает работать мозговая цепочка: пиво - водка - девушки - лаос - turbo porter (точно! именно он был в фильм air america)
:)

Любой инстумент следует использовать обдуманно...)

Да, согласен, наверное статистика такая...)
Никто особо не заморачивается секретностью, проповедуя принцип "Неуловимого Джо" )

Фейк, по виду. Ну с трудом я представляю девушку, которая отвечает на вопрос про ПИТОМЦА, домашнего, не животное, не кто там у тебя живет, а ПИТОМЕЦ.
да и фейковый аккаунт абонента в три клика палится. Короче, не верю

Секретный вопрос - хорошая штука.
Сейчас залез к себе в ящик, посмотрел, там стоит вопрос "Не лезь!"
Ответ даже я не помню :) Даже социальным инженерам с паяльником в руках его не узнать :)

видео -- фейк