因為人們懶惰和/或無能。而且，嗯，您知道，互聯網上到處都是黑猩猩。

我認為所有安全問題都是不好的，但使用母親的娘家姓卻格外糟糕：

• 至少在瑞典，我只需打個電話就可以找到任何人的娘家姓。
• 這實際上是公共信息。
• 這是2018年，夫妻結婚時通常採用新娘的名字。您母親的娘家姓就是您的姓氏。太好了。

• 路易斯·卡西利亞斯正確地補充了：

  有幾十個國家，其中有數十億人口是婦女，結婚時不要更改其法定姓名。特別是美國，有許多來自這些國家的少數民族。

嚴重的是，這沒有任何藉口。太糟糕了。

“安全性問題”可能是解決難題的唯一方法。您有一個客戶，他們失去了密碼（以及他們的電子郵件訪問權限），並且都想找回他們。

讓他們在您的辦公室或由公證人親自進行驗證可能並不恰當，這實際上是唯一完全安全的解決方案（將安全的政府ID與他們的外觀/生物特徵進行匹配）。 p>

我認為使用這種驗證方式的銀行（例如）對每種欺詐行為的發生率都有很好的統計數據，並且會知道風險和收益（例如，說我的銀行需要在什麼時候識別我出國旅行，他們不能，他們失去了我一個客戶，並挽回了我一生的成千上萬的利潤-相對於他們允許欺詐地使用卡並直接損失成千上萬-但他們知道只有5％的標記交易實際上是欺詐性的）

頑強和/或慣性

更嚴重的是，機構依賴此信息在幾十年中基本上是秘密的。大規模公開發布數據洩露的時代是最近的。

大多數組織對變化的反應很慢。

簡單為

錯誤的假設。

安全性問題就像“複雜”的密碼要求一樣，植根於所謂的最佳實踐，但實際上並非如此。就像口頭傳統一樣，許多此類做法都是從一個安全人員傳給下一個安全人員，並且很少受到質疑（每當受到質疑時，通常就會證明它們是虛假的。）

安全問題是其中之一。這些東西。有人提出了一個合理的想法，很快就出現了相當標準的此類問題清單，從那時起，每個人基本上都從那裡複製了內容，而沒有提出疑問。所有其他“安全問題”都是危險，通常甚至比弱密碼（例如，不在前20名中的任何密碼）都容易得多。

可用性超過安全性

銀行希望獲得安全性，但要面對客戶強制性的可用性。

此客戶不是由我們的同行組成。它包括那些擔心“笨拙的事物”的人，不了解變革並拒絕變革的老年人，智障人士，他們花了多年的時間來學習該系統，卻無法處理其他計劃，更不用說員工以遺產代理人或殘疾人的委託書行事的人。您設計的任何系統都必須對所有這些人都可用，除非您希望具有訪問權限。我們陷入最低的公分母，或者以最慢的船速航行。

安全性之上的金錢：責任轉移

銀行系統建立在 trust 之上，遠遠超出了任何人都願意承認的範圍。欺詐由非常活躍的安全人員控制，他們 不必超出熊市。如果銀行的安全性足夠好，攻擊者便改用一些更簡單的賺錢手段，那麼銀行就贏了。那名本來會攻擊銀行的罪犯卻威脅要成為IRS的特工，並讓退休人員自願向西聯匯款（Western Union）救助他們的性命。那位退休人員無法回到銀行要求他們退還錢，所以銀行是明確的。

這種“負債轉移”是銀行策略的重要組成部分。他們所做的任何事情都會使負債從銀行轉移出去。他們不利於安裝更強大的系統，一旦失敗，該系統將給銀行帶來更多的責任。

“安全問題”通常是一個非常愚蠢的主意。

每次創建密碼時，通常的建議是不要使用個人信息作為密碼，例如您去過的地方。高中或您喜歡的顏色或您駕駛的汽車，因為試圖入侵您帳戶的黑客可能會發現或猜測這些東西。相反，您應該使用無意義的字母和數字字符串，這對任何人都應該是不可能的。

但是...我們了解無意義的字母和數字字符串很難記住。因此，讓我們創建安全性問題，這些問題可以有效地用作備用密碼，為此，我們將使用一些容易記住的東西，例如您上高中的地方，喜歡的顏色或駕駛的汽車。因為雖然黑客可能會嘗試猜測這種個人信息來獲取密碼，但黑客在100萬年內都不會嘗試猜測安全問題的答案。

至少，如果您如果使用一些個人信息作為密碼，黑客將不會知道您使用的是高中還是最喜歡的顏色或汽車品牌。但是遇到安全性問題，我們會告訴他它是什麼。

如果有人認識您，那麼很多安全性問題將很容易找到或猜測。也許您是從另一個城市搬到這裡的，但是您現在居住的地方很有可能長大，因此猜測該地區的高中將有很大的機會受到衝擊。他可能知道您駕駛的是哪種車型。如果不是這樣，那麼就沒有那麼多不同的汽車品牌了。如果您問人們最喜歡的顏色，大多數人都會說出大約十二種。 （無論如何，大多數男人。女人往往比男人知道更多顏色的名字。）

我剛剛創建了一個系統，該系統最近將其安全性問題限制在可能性很小的事情上，然後為每個問題提供下拉菜單！所以告訴黑客，這是允許某人選擇的20個可能的密碼！我見過讓我選擇至少8個字符的密碼的系統，因為如果我只輸入6或7，則只有幾十億種可能性，並且黑客可能會通過蠻力攻擊來獲得它。但是，讓我們有一個備用密碼，可以在其中幫助列出20個選擇。這使黑客不必擔心被大寫或拼寫錯誤絆倒。

答案等同於：為什麼我們在現實生活中擁有簡單的鎖，而鎖卻如此容易被鎖住。

讓用戶選擇自己的安全級別始終是一件好事

我打賭發射核彈的密碼無法通過母親的娘家姓找回。但是典型的用戶有2-3個，也許10個真正重要的帳戶。以及其他數百個帳戶。例如。電子網上商店中的帳戶。我不太在乎是否有人會破解它，也不會知道我在2011年購買了什麼。我不在乎一個曾經詢問過一些建議的DIY論壇上的帳戶。

人們需要很多這樣的帳戶“簡單鎖”。簡單的密碼（如“ 123456”），不需要經常更改，並且可以輕鬆地恢復它。可用性超過安全性。如果用戶想要的是可用性而不是安全性，那並不是必須的，這就是必須的。

安全性問題的目的是長期有效。忘記/丟失密碼時，您需要記住它。這就是為什麼您無法輕易鬆散的固有信息非常適合的原因。這意味著該問題的第一個假設不適合。

對於第二部分它可能已經或已經成為公眾知識：a）這些安全性問題通常是（如果正確完成的話）一個選項，您不一定需要它們-您可以選擇其中之一。由用戶決定每個人在其上下文中的知名度（尤其是在安全問題需要回答的階段，攻擊者是否可能知道她的正常名字。）b）適當地實施後，安全性問題應該只是多路身份驗證的一部分，因為它們總是比密碼容易破解，另一個可能是訪問您用來註冊帳戶的郵件地址。

因此，從便利性到確保初次使用的問題上，對於用戶而言，便利性方面可能更多，但這並不一定總是一個錯誤的選擇。我最喜歡的電影，寵物的名字等都不是最強的秘密。

對於b）在嘗試重設密碼時，貝寶（Paypal）使用此方法使用多路身份驗證方法。在他們的過程中，您需要提供對此類多個安全問題的解答。另外，您需要有權訪問您的電子郵件地址。或者，您可以選擇撥打已註冊電話號碼的電話，並將獲得的代碼用作第二種身份驗證方法。它是多種措施的一部分-目標是兼顧便利性和安全性。