Как я взломала секретные вопросы для своего Apple ID

Почему ответы на вопросы “Девичья фамилия вашей матери” и “Что вы делали прошлым летом” не защищают вас от мошенников.

Как я взломала секретные вопросы для своего Apple ID

В начале 2012 года у меня появился MacBook. В то время я мало что знала о гаджетах и приобретать еще какие-нибудь устройства Apple точно не собиралась. Однако Apple ID я завела и помимо пароля выбрала несколько секретных вопросов, ответы на которые я точно должна была вспомнить.

Четыре года спустя у меня появился iPad, я приобрела несколько хороших приложений (в том числе из этого нашего списка) и задумалась о безопасности своей учетной записи. Для начала мне захотелось подключить двухэтапную проверку.

Оказалось, что сделать это не так-то просто: Apple не позволила мне внести изменения в разделе «Безопасность» без ответов на контрольные вопросы. Я попробовала на них ответить, но все, что я ввела, не подошло. А привязанный к аккаунту дополнительный email, с помощью которого можно сбросить контрольные вопросы, оказался неподтвержденным.

Грустно покликав несколько раз мышкой по ссылке Verify email и не найдя заветного письма ни в почте, ни в папке спама, я поняла, что дело плохо. Возможности обратиться в службу поддержки у меня в тот момент не было — оставалось только взламывать собственные ответы на контрольные вопросы.

Как я взломала секретные вопросы для своего Apple ID

Как у меня это получилось

Должна сказать, что вопросы я выбрала не самые сложные. Вспоминая ответы, я неожиданно поняла, что вычислить их может кто угодно, просто изучив мое резюме или странички в соцсетях.

Куда вы впервые полетели на самолете?
Первый перелет в моей жизни, так же как и в жизни миллионов других людей, случился по работе — это была командировка в Москву. Поэтому угадать ответ на этот вопрос могла не только я, но и любой другой человек, прочитавший мое резюме на LinkedIn или на сайте поиска работы.

В каком городе встретились ваши родители?
Мои родители родились, встретились и поженились в том же городе, в котором родилась и выросла я. У большого количества людей похожая биография. Не очень-то секретный вопрос: многие люди указывают в соцсетях не только свой текущий город проживания, но и место рождения.

Например, в информации о пользователе «ВКонтакте» есть специальное поле, куда можно вписать эти данные. Когда эта соцсеть только появилась, она давала определенные бонусы за заполнение своей страницы на 100%. Тогда многие загрузили в соцсеть огромное количество данных о себе (и я в том числе). Все вместе мы создали настоящий клад для социальных инженеров.

Ваша любимая книга в детстве?
Что ж, у меня было несколько вариантов, но наиболее вероятным ответом был «Хоббит» Дж. Р.Р. Толкиена. И это тоже не такая уж секретная информация: во-первых, книга достаточно популярна. Во-вторых, любой, кто учился со мной в университете, знал, что все три года я писала курсовые работы по «Хоббиту». Черт, даже моя неоконченная диссертация была посвящена 11 переводам этой повести на русский язык. В общем, я была не уверена только в одном: указала ли я в ответах короткое «Хоббит» или полное название книги — «Хоббит, или Туда и обратно».

Почему же тогда мои ответы не подходили? Все очень просто: в настройках моего личного кабинета стоял английский язык, а значит, и вопросы мне показывали на английском. А ответы четыре года назад я ввела на русском. Как только я ввела их на правильном языке — все сразу получилось.

В итоге этот случай заставил меня задуматься над следующими вопросами.

Что такое хороший секретный вопрос? И если мне предлагают список вопросов, какие лучше выбрать?

Поразмыслив, я пришла к выводу, что есть пять критериев, по которым можно отличить хороший вопрос от плохого.

1. Безопасность. Вопросы должны быть такими, чтобы ответы было сложно угадать или найти в Сети. Например, любимый вопрос всех банков — девичья фамилия матери — явно небезопасен. Не буду тратить ваше время на рассказ о 9 тысячах способов, которыми эту информацию несложно добыть, вы наверняка и сами догадываетесь.

2. Стабильность. Ответ на этот вопрос не меняется со временем. Ваше любимое место работы за несколько лет может поменяться, так же как и самое вкусное блюдо или самый классный музыкальный альбом.

3. Запоминаемость. Пароли мы вводим относительно часто, а ответы на секретные вопросы — очень редко. Вполне может быть, что раз в несколько лет. Будучи подростком, вы, возможно, еще помните имя вашей учительницы в первом классе, но ближе к тридцатилетию оно может стереться из вашей памяти.

4. Простота. На вопрос «Где вы впервые поцеловались?» можно ответить «В Москве», можно — «За баней», а можно — «За_баней». Важно не запутать себя настолько, чтобы потом не вспомнить, что именно вы писали в ответе.

5. Разнообразие ответов. Не выбирайте вопросы, которые требуют ответа «да» или «нет», — взломать их проще простого. Важно, чтобы на вопрос можно было ответить сотнями разных способов, правильный из которых знаете только вы.

Также стоит помнить вот о чем. Всевозможные флешмобы в соцсетях, которые просят пользователей ответить на вопросы вроде «Первые семь мест моей работы — это…» или «Я впервые полетел на самолете в…», — это отличный источник данных для хакеров.

Как я взломала секретные вопросы для своего Apple ID

Если хотите, вы можете модифицировать ответ даже на самый банальный секретный вопрос так, чтобы никто его не угадал, кроме вас, только не запутайте себя при этом.

Например, если взять девичью фамилию матери «Огурцова» и выписать из нее только согласные буквы латиницей, вы получите grcv. Добавьте к этому дату рождения, скажем 04.08.80, и объедините через равный промежуток: 04gr08cv80. Не бог весть что, но явно лучше, чем просто «Огурцова».

Этот метод подходит только для тех секретных вопросов, ответы на которые вы называете часто — например, когда вас идентифицирует банк. Периодически вспоминая комбинацию, вы обновляете эту информацию в памяти — если отложить подобный ответ «в стол» на несколько лет, то, скорее всего, вы не вспомните правильный вариант, когда понадобится его ввести.

А вообще, есть более надежные способы защиты аккаунта — например, та же двухэтапная аутентификация.

Время чистки: рабочий телефон — для работы

Наши эксперты нашли в Google Play некое приложение для поклонников Pokémon Go, которая через некоторое время после установки получает рут-доступ к устройству и может по своему усмотрению устанавливать и удалять дополнительные программы.

Советы