Як я зламала секретні питання для свого Apple ID | Блог Лабораторії Касперського

  1. Як я зламала секретні питання для свого Apple ID На початку 2012 року у мене з'явився MacBook. У...
  2. Що таке хороший секретне питання? І якщо мені пропонують список питань, які краще вибрати?
  3. Як я зламала секретні питання для свого Apple ID
  4. Як у мене це вийшло
  5. Що таке хороший секретне питання? І якщо мені пропонують список питань, які краще вибрати?
  6. Як я зламала секретні питання для свого Apple ID
  7. Як у мене це вийшло
  8. Що таке хороший секретне питання? І якщо мені пропонують список питань, які краще вибрати?

Як я зламала секретні питання для свого Apple ID

На початку 2012 року у мене з'явився MacBook. У той час я мало що знала про гаджетах і купувати ще якісь пристрої Apple точно не збиралася. Однак Apple ID я завела і крім пароля вибрала кілька секретних питань, відповіді на які я точно повинна була згадати.

Однак Apple ID я завела і крім пароля вибрала кілька секретних питань, відповіді на які я точно повинна була згадати

Чотири роки по тому у мене з'явився iPad, я придбала кілька хороших додатків (у тому числі з цього нашого списку ) І задумалася про безпеку свого облікового запису. Для початку мені захотілося підключити двоетапну перевірку .

Виявилося, що зробити це не так-то просто: Apple не дозволила мені внести зміни в розділі «Безпека» без відповідей на контрольні питання. Я спробувала на них відповісти, але все, що я ввела, не підійшло. А прив'язаний до аккаунту додатковий email, за допомогою якого можна скинути контрольні питання, виявився непідтвердженими.

Сумно покликали кілька разів мишкою по посиланню Verify email і не знайшовши заповітного листа ні в пошті, ні в папці спаму, я зрозуміла, що справи кепські. Можливості звернутися в службу підтримки у мене в той момент не було - залишалося тільки зламувати власні відповіді на контрольні питання.

Можливості звернутися в службу підтримки у мене в той момент не було - залишалося тільки зламувати власні відповіді на контрольні питання

Як у мене це вийшло

Повинна сказати, що питання я вибрала не найскладніші. Згадуючи відповіді, я несподівано зрозуміла, що обчислити їх може хто завгодно, просто вивчивши моє резюме або сторінки в соцмережах.

- Куди ви вперше полетіли на літаку?
Перший переліт в моєму житті, так само як і в житті мільйонів інших людей, трапився по роботі - це було відрядження в Москву. Тому вгадати відповідь на це питання могла не тільки я, але і будь-який інший чоловік, який прочитав моє резюме на LinkedIn або на сайті пошуку роботи.

- В якому місті зустрілися ваші батьки?
Мої батьки народилися, зустрілися і одружилися в тому ж місті, в якому народилася і виросла я. У великої кількості людей схожа біографія. Не дуже-то секретний питання: багато людей вказують в соцмережах не тільки свій поточний місто проживання, а й місце народження.

Наприклад, в інформації про користувача «ВКонтакте» є спеціальне поле, куди можна вписати ці дані. Коли ця соцмережа тільки з'явилася, вона давала певні бонуси за заповнення своєї сторінки на 100%. Тоді багато завантажили в соцмережу величезну кількість даних про себе (і я в тому числі). Всі разом ми створили справжній скарб для соціальних інженерів.

- Ваша улюблена книга в дитинстві?
Що ж, у мене було кілька варіантів, але найбільш імовірним відповіддю був «Хоббіт» Дж. Р.Р. Толкієна. І це теж не така вже секретна інформація: по-перше, книга досить популярна. По-друге, будь-який, хто вчився зі мною в університеті, знав, що всі три роки я писала курсові роботи по «Хоббіта». Чорт, навіть моя незакінчена дисертація була присвячена 11 перекладам цієї повісті російською мовою. Загалом, я була не впевнена тільки в одному: чи вказала я в відповідях короткий «Хоббіт» або повна назва книги - «Хоббіт, або Туди і назад».

Чому ж тоді мої відповіді не підходили? Все дуже просто: в налаштуваннях мого особистого кабінету стояв англійську мову, а значить, і питання мені показували англійською. А відповіді чотири роки тому я ввела російською. Як тільки я ввела їх правильною мовою - все відразу вийшло.

У підсумку цей випадок змусив мене задуматися над такими запитаннями.

Що таке хороший секретне питання? І якщо мені пропонують список питань, які краще вибрати?

Поміркувавши, я прийшла до висновку, що є п'ять критеріїв, за якими можна відрізнити хороше запитання від поганого.

1. Безпека. Питання повинні бути такими, щоб відповіді було складно вгадати або знайти в Мережі. Наприклад, улюблений питання всіх банків - дівоче прізвище матері - явно небезпечний. Не буду витрачати ваш час на розповідь про 9 тисячах способів, якими цю інформацію нескладно добути, ви напевно і самі здогадуєтеся.

2. Стабільність. Відповідь на це питання не змінюється з часом. Ваше улюблене місце роботи за кілька років може змінитися, так само як і найсмачніше блюдо або самий класний музичний альбом.

3. Запоминаемость. Паролі ми вводимо щодо часто, а відповіді на секретні питання - дуже рідко. Цілком може бути, що раз в декілька років. Будучи підлітком, ви, можливо, ще пам'ятаєте ім'я вашої вчительки в першому класі, але ближче до тридцятиріччя воно може стертися з вашої пам'яті.

4. Простота. На питання «Де ви вперше поцілувалися?» Можна відповісти «У Москві», можна - «За лазнею», а можна - «За_баней». Важливо не заплутати себе настільки, щоб потім не згадати, що саме ви писали у відповіді.

5. Різноманітність відповідей. Не вибирайте питання, які вимагають відповіді «так» або «ні», - зламати їх простіше простого. Важливо, щоб на питання можна було відповісти сотнями різних способів, правильний з яких знаєте тільки ви.

Також варто пам'ятати ось про що. Всілякі флешмоби в соцмережах, які просять користувачів відповісти на запитання на кшталт «Перші сім місць моєї роботи - це ...» або «Я вперше полетів на літаку в ...», - це відмінне джерело даних для хакерів.

», - це відмінне джерело даних для хакерів

Якщо хочете, ви можете модифікувати відповідь навіть на самий банальний секретне питання так, щоб ніхто його не вгадав, крім вас, тільки не заплутатися себе при цьому.

Наприклад, якщо взяти дівоче прізвище матері «Огурцова» і виписати з неї тільки приголосні букви латиницею, ви отримаєте grcv. Додайте до цього дату народження, скажімо 04.08.80, і об'єднайте через рівний проміжок: 04gr08cv80. Не бозна-що, але явно краще, ніж просто «Огурцова».

Цей метод підходить тільки для тих секретних питань, відповіді на які ви називаєте часто - наприклад, коли вас ідентифікує банк. Періодично згадуючи комбінацію, ви оновлюєте цю інформацію в пам'яті - якщо відкласти подібна відповідь «в стіл» на кілька років, то, швидше за все, ви не згадаєте правильний варіант, коли знадобиться його ввести.

А взагалі, є більш надійні способи захисту облікового запису - наприклад, та ж двоетапна аутентифікація .

Як я зламала секретні питання для свого Apple ID

На початку 2012 року у мене з'явився MacBook. У той час я мало що знала про гаджетах і купувати ще якісь пристрої Apple точно не збиралася. Однак Apple ID я завела і крім пароля вибрала кілька секретних питань, відповіді на які я точно повинна була згадати.

Однак Apple ID я завела і крім пароля вибрала кілька секретних питань, відповіді на які я точно повинна була згадати

Чотири роки по тому у мене з'явився iPad, я придбала кілька хороших додатків (у тому числі з цього нашого списку ) І задумалася про безпеку свого облікового запису. Для початку мені захотілося підключити двоетапну перевірку .

Виявилося, що зробити це не так-то просто: Apple не дозволила мені внести зміни в розділі «Безпека» без відповідей на контрольні питання. Я спробувала на них відповісти, але все, що я ввела, не підійшло. А прив'язаний до аккаунту додатковий email, за допомогою якого можна скинути контрольні питання, виявився непідтвердженими.

Сумно покликали кілька разів мишкою по посиланню Verify email і не знайшовши заповітного листа ні в пошті, ні в папці спаму, я зрозуміла, що справи кепські. Можливості звернутися в службу підтримки у мене в той момент не було - залишалося тільки зламувати власні відповіді на контрольні питання.

Можливості звернутися в службу підтримки у мене в той момент не було - залишалося тільки зламувати власні відповіді на контрольні питання

Як у мене це вийшло

Повинна сказати, що питання я вибрала не найскладніші. Згадуючи відповіді, я несподівано зрозуміла, що обчислити їх може хто завгодно, просто вивчивши моє резюме або сторінки в соцмережах.

- Куди ви вперше полетіли на літаку?
Перший переліт в моєму житті, так само як і в житті мільйонів інших людей, трапився по роботі - це було відрядження в Москву. Тому вгадати відповідь на це питання могла не тільки я, але і будь-який інший чоловік, який прочитав моє резюме на LinkedIn або на сайті пошуку роботи.

- В якому місті зустрілися ваші батьки?
Мої батьки народилися, зустрілися і одружилися в тому ж місті, в якому народилася і виросла я. У великої кількості людей схожа біографія. Не дуже-то секретний питання: багато людей вказують в соцмережах не тільки свій поточний місто проживання, а й місце народження.

Наприклад, в інформації про користувача «ВКонтакте» є спеціальне поле, куди можна вписати ці дані. Коли ця соцмережа тільки з'явилася, вона давала певні бонуси за заповнення своєї сторінки на 100%. Тоді багато завантажили в соцмережу величезну кількість даних про себе (і я в тому числі). Всі разом ми створили справжній скарб для соціальних інженерів.

- Ваша улюблена книга в дитинстві?
Що ж, у мене було кілька варіантів, але найбільш імовірним відповіддю був «Хоббіт» Дж. Р.Р. Толкієна. І це теж не така вже секретна інформація: по-перше, книга досить популярна. По-друге, будь-який, хто вчився зі мною в університеті, знав, що всі три роки я писала курсові роботи по «Хоббіта». Чорт, навіть моя незакінчена дисертація була присвячена 11 перекладам цієї повісті російською мовою. Загалом, я була не впевнена тільки в одному: чи вказала я в відповідях короткий «Хоббіт» або повна назва книги - «Хоббіт, або Туди і назад».

Чому ж тоді мої відповіді не підходили? Все дуже просто: в налаштуваннях мого особистого кабінету стояв англійську мову, а значить, і питання мені показували англійською. А відповіді чотири роки тому я ввела російською. Як тільки я ввела їх правильною мовою - все відразу вийшло.

У підсумку цей випадок змусив мене задуматися над такими запитаннями.

Що таке хороший секретне питання? І якщо мені пропонують список питань, які краще вибрати?

Поміркувавши, я прийшла до висновку, що є п'ять критеріїв, за якими можна відрізнити хороше запитання від поганого.

1. Безпека. Питання повинні бути такими, щоб відповіді було складно вгадати або знайти в Мережі. Наприклад, улюблений питання всіх банків - дівоче прізвище матері - явно небезпечний. Не буду витрачати ваш час на розповідь про 9 тисячах способів, якими цю інформацію нескладно добути, ви напевно і самі здогадуєтеся.

2. Стабільність. Відповідь на це питання не змінюється з часом. Ваше улюблене місце роботи за кілька років може змінитися, так само як і найсмачніше блюдо або самий класний музичний альбом.

3. Запоминаемость. Паролі ми вводимо щодо часто, а відповіді на секретні питання - дуже рідко. Цілком може бути, що раз в декілька років. Будучи підлітком, ви, можливо, ще пам'ятаєте ім'я вашої вчительки в першому класі, але ближче до тридцятиріччя воно може стертися з вашої пам'яті.

4. Простота. На питання «Де ви вперше поцілувалися?» Можна відповісти «У Москві», можна - «За лазнею», а можна - «За_баней». Важливо не заплутати себе настільки, щоб потім не згадати, що саме ви писали у відповіді.

5. Різноманітність відповідей. Не вибирайте питання, які вимагають відповіді «так» або «ні», - зламати їх простіше простого. Важливо, щоб на питання можна було відповісти сотнями різних способів, правильний з яких знаєте тільки ви.

Також варто пам'ятати ось про що. Всілякі флешмоби в соцмережах, які просять користувачів відповісти на запитання на кшталт «Перші сім місць моєї роботи - це ...» або «Я вперше полетів на літаку в ...», - це відмінне джерело даних для хакерів.

», - це відмінне джерело даних для хакерів

Якщо хочете, ви можете модифікувати відповідь навіть на самий банальний секретне питання так, щоб ніхто його не вгадав, крім вас, тільки не заплутатися себе при цьому.

Наприклад, якщо взяти дівоче прізвище матері «Огурцова» і виписати з неї тільки приголосні букви латиницею, ви отримаєте grcv. Додайте до цього дату народження, скажімо 04.08.80, і об'єднайте через рівний проміжок: 04gr08cv80. Не бозна-що, але явно краще, ніж просто «Огурцова».

Цей метод підходить тільки для тих секретних питань, відповіді на які ви називаєте часто - наприклад, коли вас ідентифікує банк. Періодично згадуючи комбінацію, ви оновлюєте цю інформацію в пам'яті - якщо відкласти подібна відповідь «в стіл» на кілька років, то, швидше за все, ви не згадаєте правильний варіант, коли знадобиться його ввести.

А взагалі, є більш надійні способи захисту облікового запису - наприклад, та ж двоетапна аутентифікація .

Як я зламала секретні питання для свого Apple ID

На початку 2012 року у мене з'явився MacBook. У той час я мало що знала про гаджетах і купувати ще якісь пристрої Apple точно не збиралася. Однак Apple ID я завела і крім пароля вибрала кілька секретних питань, відповіді на які я точно повинна була згадати.

Однак Apple ID я завела і крім пароля вибрала кілька секретних питань, відповіді на які я точно повинна була згадати

Чотири роки по тому у мене з'явився iPad, я придбала кілька хороших додатків (у тому числі з цього нашого списку ) І задумалася про безпеку свого облікового запису. Для початку мені захотілося підключити двоетапну перевірку .

Виявилося, що зробити це не так-то просто: Apple не дозволила мені внести зміни в розділі «Безпека» без відповідей на контрольні питання. Я спробувала на них відповісти, але все, що я ввела, не підійшло. А прив'язаний до аккаунту додатковий email, за допомогою якого можна скинути контрольні питання, виявився непідтвердженими.

Сумно покликали кілька разів мишкою по посиланню Verify email і не знайшовши заповітного листа ні в пошті, ні в папці спаму, я зрозуміла, що справи кепські. Можливості звернутися в службу підтримки у мене в той момент не було - залишалося тільки зламувати власні відповіді на контрольні питання.

Можливості звернутися в службу підтримки у мене в той момент не було - залишалося тільки зламувати власні відповіді на контрольні питання

Як у мене це вийшло

Повинна сказати, що питання я вибрала не найскладніші. Згадуючи відповіді, я несподівано зрозуміла, що обчислити їх може хто завгодно, просто вивчивши моє резюме або сторінки в соцмережах.

- Куди ви вперше полетіли на літаку?
Перший переліт в моєму житті, так само як і в житті мільйонів інших людей, трапився по роботі - це було відрядження в Москву. Тому вгадати відповідь на це питання могла не тільки я, але і будь-який інший чоловік, який прочитав моє резюме на LinkedIn або на сайті пошуку роботи.

- В якому місті зустрілися ваші батьки?
Мої батьки народилися, зустрілися і одружилися в тому ж місті, в якому народилася і виросла я. У великої кількості людей схожа біографія. Не дуже-то секретний питання: багато людей вказують в соцмережах не тільки свій поточний місто проживання, а й місце народження.

Наприклад, в інформації про користувача «ВКонтакте» є спеціальне поле, куди можна вписати ці дані. Коли ця соцмережа тільки з'явилася, вона давала певні бонуси за заповнення своєї сторінки на 100%. Тоді багато завантажили в соцмережу величезну кількість даних про себе (і я в тому числі). Всі разом ми створили справжній скарб для соціальних інженерів.

- Ваша улюблена книга в дитинстві?
Що ж, у мене було кілька варіантів, але найбільш імовірним відповіддю був «Хоббіт» Дж. Р.Р. Толкієна. І це теж не така вже секретна інформація: по-перше, книга досить популярна. По-друге, будь-який, хто вчився зі мною в університеті, знав, що всі три роки я писала курсові роботи по «Хоббіта». Чорт, навіть моя незакінчена дисертація була присвячена 11 перекладам цієї повісті російською мовою. Загалом, я була не впевнена тільки в одному: чи вказала я в відповідях короткий «Хоббіт» або повна назва книги - «Хоббіт, або Туди і назад».

Чому ж тоді мої відповіді не підходили? Все дуже просто: в налаштуваннях мого особистого кабінету стояв англійську мову, а значить, і питання мені показували англійською. А відповіді чотири роки тому я ввела російською. Як тільки я ввела їх правильною мовою - все відразу вийшло.

У підсумку цей випадок змусив мене задуматися над такими запитаннями.

Що таке хороший секретне питання? І якщо мені пропонують список питань, які краще вибрати?

Поміркувавши, я прийшла до висновку, що є п'ять критеріїв, за якими можна відрізнити хороше запитання від поганого.

1. Безпека. Питання повинні бути такими, щоб відповіді було складно вгадати або знайти в Мережі. Наприклад, улюблений питання всіх банків - дівоче прізвище матері - явно небезпечний. Не буду витрачати ваш час на розповідь про 9 тисячах способів, якими цю інформацію нескладно добути, ви напевно і самі здогадуєтеся.

2. Стабільність. Відповідь на це питання не змінюється з часом. Ваше улюблене місце роботи за кілька років може змінитися, так само як і найсмачніше блюдо або самий класний музичний альбом.

3. Запоминаемость. Паролі ми вводимо щодо часто, а відповіді на секретні питання - дуже рідко. Цілком може бути, що раз в декілька років. Будучи підлітком, ви, можливо, ще пам'ятаєте ім'я вашої вчительки в першому класі, але ближче до тридцятиріччя воно може стертися з вашої пам'яті.

4. Простота. На питання «Де ви вперше поцілувалися?» Можна відповісти «У Москві», можна - «За лазнею», а можна - «За_баней». Важливо не заплутати себе настільки, щоб потім не згадати, що саме ви писали у відповіді.

5. Різноманітність відповідей. Не вибирайте питання, які вимагають відповіді «так» або «ні», - зламати їх простіше простого. Важливо, щоб на питання можна було відповісти сотнями різних способів, правильний з яких знаєте тільки ви.

Також варто пам'ятати ось про що. Всілякі флешмоби в соцмережах, які просять користувачів відповісти на запитання на кшталт «Перші сім місць моєї роботи - це ...» або «Я вперше полетів на літаку в ...», - це відмінне джерело даних для хакерів.

», - це відмінне джерело даних для хакерів

Якщо хочете, ви можете модифікувати відповідь навіть на самий банальний секретне питання так, щоб ніхто його не вгадав, крім вас, тільки не заплутатися себе при цьому.

Наприклад, якщо взяти дівоче прізвище матері «Огурцова» і виписати з неї тільки приголосні букви латиницею, ви отримаєте grcv. Додайте до цього дату народження, скажімо 04.08.80, і об'єднайте через рівний проміжок: 04gr08cv80. Не бозна-що, але явно краще, ніж просто «Огурцова».

Цей метод підходить тільки для тих секретних питань, відповіді на які ви називаєте часто - наприклад, коли вас ідентифікує банк. Періодично згадуючи комбінацію, ви оновлюєте цю інформацію в пам'яті - якщо відкласти подібна відповідь «в стіл» на кілька років, то, швидше за все, ви не згадаєте правильний варіант, коли знадобиться його ввести.

А взагалі, є більш надійні способи захисту облікового запису - наприклад, та ж двоетапна аутентифікація .

Що таке хороший секретне питання?
І якщо мені пропонують список питань, які краще вибрати?
І якщо мені пропонують список питань, які краще вибрати?
І якщо мені пропонують список питань, які краще вибрати?
Куди ви вперше полетіли на літаку?
В якому місті зустрілися ваші батьки?
Ваша улюблена книга в дитинстві?
Чому ж тоді мої відповіді не підходили?
Що таке хороший секретне питання?
І якщо мені пропонують список питань, які краще вибрати?