Parce que les gens sont paresseux et / ou incompétents. Et bien, vous savez, Internet est plein de chimpanzés.

Je dirais que toutes les questions de sécurité sont mauvaises, mais utiliser le nom de jeune fille de la mère est exceptionnellement mauvais:

• Au moins en Suède, je peux connaître le nom de jeune fille de n'importe qui en un simple appel au bureau des impôts. C'est littéralement une information publique.
• Nous sommes en 2018 et il est assez courant que les couples adoptent le nom de la mariée lorsqu'ils se marient. Le nom de jeune fille de votre mère est alors votre nom de famille. Super.

• Luis Casillas ajoute à juste titre:

  Il y a des dizaines de pays, avec des milliards d'habitants entre eux, où les femmes ne ne change pas de nom légal quand ils se marient. Les États-Unis en particulier ont d'énormes minorités d'immigrants de ces pays.

Sérieusement, il n'y a aucune excuse pour cela. C'est juste mauvais.

Les "questions de sécurité" peuvent être la seule solution à un problème difficile. Vous avez un client, il a perdu son mot de passe (et son accès aux e-mails) et vous aimeriez tous les deux le récupérer.

Il n'est peut-être pas proportionné de leur faire effectuer une vérification en personne dans vos bureaux ou avec un notaire, ce qui serait vraiment la seule solution totalement sécurisée (faire correspondre l'identifiant gouvernemental sécurisé à leur apparence / biométrie).

Je pense que les banques (comme par exemple) qui utilisent ce type de vérification ont d'assez bonnes statistiques sur la prévalence de chaque type de fraude et connaîtront les risques et les avantages (par exemple, dire que ma banque doit m'identifier quand voyageant à l'étranger, ils ne peuvent pas et ils me perdent un client avec des dizaines de milliers de bénéfices à vie - par opposition à l'utilisation frauduleuse d'une carte et en perdent directement des dizaines de milliers - mais ils savent que seulement 5% des transactions signalées sont en fait frauduleuses) .

Léthargie et / ou inertie

Plus sérieusement, les institutions se sont appuyées sur cette information essentiellement secrète pendant quelques décennies. L'ère des violations massives de données est très récente.

La plupart des entreprises réagissent lentement au changement.

Simple comme

De fausses hypothèses.

Les questions de sécurité, tout comme les exigences de mot de passe "complexes", sont enracinées dans ce que l'on appelle les meilleures pratiques, mais ce n'est pas le cas. Comme une tradition orale, beaucoup de ces pratiques sont transmises d'un agent de sécurité à l'autre, et rarement questionnées (chaque fois qu'elles sont interrogées, il s'avère souvent qu'elles sont fausses).

Les questions de sécurité sont l'une des ces choses. Quelqu'un a eu une idée raisonnable, et très vite une liste assez standard de ces questions a évolué, et depuis lors, tout le monde a essentiellement copié à partir de là, sans se poser de questions.

Alors oui, vous avez raison, ceci et presque toute autre "question de sécurité" est un danger et généralement beaucoup, beaucoup plus facile à comprendre que même un mot de passe faible (par exemple, tout ce qui ne figure pas dans la liste des 20 premiers).

Convivialité plutôt que sécurité, malheureusement

Les banques veulent être sécurisées, mais font face à une clientèle pour laquelle la convivialité est obligatoire .

Cette clientèle n'est pas composée de nos pairs. Cela inclut ceux qui craignent "le gub'mint", les seniors qui ne comprennent pas le changement et y résistent, les handicapés mentaux qui ont mis des années à apprendre ce système et qui ne peuvent tout simplement pas traiter un autre programme, sans parler des membres du personnel par exemple une personne agissant avec procuration pour une succession ou une personne handicapée. Le système que vous concevez doit être accessible à toutes ces personnes, à moins que vous ne souhaitiez avoir des niveaux d'accès. Nous sommes coincés avec le plus petit dénominateur commun, ou convoyons à la vitesse du navire le plus lent.

L'argent plutôt que la sécurité: transfert de responsabilité

Le système bancaire est bâti sur la confiance bien plus que quiconque voudrait l'admettre. La fraude est maîtrisée par un personnel de sécurité très actif, qui n'a pas à distancer l'ours . Si la sécurité bancaire est juste suffisante pour que les attaquants adoptent des moyens plus simples de gagner de l’argent, la banque gagne. Ce criminel qui aurait attaqué la banque, menace à la place d'être un agent de l'IRS et oblige un retraité à prendre volontairement à Western Union ses économies. Ce retraité ne peut pas revenir à la banque et réclamer son argent, alors la banque est en clair.

Ce type de «transfert de responsabilité» fait partie intégrante de la stratégie bancaire. Tout ce qu'ils font va détourner la responsabilité de la banque. Ils découragent d'installer un système plus solide qui, en cas d'échec, crée une responsabilité accrue pour la banque.

Les «questions de sécurité» en général sont une idée incroyablement stupide.

Chaque fois que vous créez un mot de passe, il est conseillé de dire régulièrement que vous ne devez pas utiliser d'informations personnelles pour un mot de passe, comme l'endroit où vous êtes allé lycée ou votre couleur préférée ou la marque de voiture que vous conduisez, car un pirate informatique essayant de pénétrer votre compte pourrait être en mesure de découvrir ou de deviner ces choses. Au lieu de cela, vous devriez utiliser une chaîne de lettres et de chiffres sans signification, qui devrait être impossible à deviner.

Mais ... nous comprenons que les chaînes de lettres et de chiffres sans signification sont difficiles à retenir. Créons donc des questions de sécurité, qui fonctionnent efficacement comme des mots de passe alternatifs, et pour celles-ci, nous utiliserons quelque chose de facile à retenir, comme l'endroit où vous êtes allé au lycée ou votre couleur préférée ou la marque de voiture que vous conduisez. Parce que si un pirate peut essayer de deviner ce type d'informations personnelles pour un mot de passe, il ne viendrait jamais un million d'années à un pirate d'essayer de deviner la réponse à une question de sécurité.

Au moins si vous utilisé certaines informations personnelles pour un mot de passe, le pirate informatique ne saurait pas si vous avez utilisé votre lycée ou votre couleur préférée ou une marque de voiture. Mais avec les questions de sécurité, nous lui disons de quoi il s'agit.

Si quelqu'un vous connaît, de nombreuses questions de sécurité seraient faciles à trouver ou à deviner. Peut-être avez-vous déménagé ici d'une autre ville, mais il y a de fortes chances que vous ayez grandi là où vous vivez maintenant, alors deviner que les écoles secondaires de la région auraient de bonnes chances d'obtenir un succès. Il sait peut-être quel modèle de voiture vous conduisez. Sinon, il n'y a pas autant de marques de voitures différentes. Si vous demandez aux gens leur couleur préférée, la plupart des gens en nommeront une parmi une douzaine. (Enfin, la plupart des hommes, en tout cas. Les femmes ont tendance à connaître les noms de beaucoup plus de couleurs que les hommes.)

Un système sur lequel je viens de créer un compte a récemment limité ses questions de sécurité à des choses avec un assez petit nombre de possibilités, puis a fourni des listes déroulantes pour chacun d'eux! Alors dites au hacker, voici les 20 mots de passe possibles parmi lesquels quelqu'un pouvait choisir! J'ai vu des systèmes qui me font choisir un mot de passe d'au moins 8 caractères car si je viens de taper 6 ou 7, ce n'est que quelques milliards de possibilités, et un pirate pourrait l'obtenir avec une attaque par force brute. Mais alors ayons un mot de passe alternatif où nous listons utilement les 20 choix. Cela évite au pirate d'avoir à s'inquiéter d'être trébuché par une majuscule ou une faute d'orthographe.

La réponse est la même que: pourquoi avons-nous des serrures simples dans la vraie vie, qui sont si faciles à crocheter ou à casser.

Il est toujours bon de laisser l'utilisateur sélectionner son niveau de sécurité .

Je parie que le mot de passe pour lancer des bombes nucléaires ne pourrait pas être récupéré par le nom de jeune fille de la mère. Mais l'utilisateur typique a 2-3, peut-être 10 comptes vraiment importants. Et des centaines d'autres comptes. Par exemple. compte dans la boutique en ligne électronique. Je ne me soucie pas vraiment si quelqu'un le piratera et saura ce que j'ai acheté en 2011. Je me fiche du compte sur un forum de bricolage où j'ai demandé une fois quelques conseils.

Pour beaucoup de ces comptes, les gens ont besoin «serrures simples». Des mots de passe simples (comme '123456'), aucune obligation de le changer souvent et un moyen facile de le récupérer. Convivialité plutôt que sécurité. Et ce n'est pas "malheureusement", c'est comme ça que ça doit être, si l'utilisateur veut plus de convivialité que de sécurité.

Le but de la question de sécurité est la validité à long terme. Vous devez vous en souvenir lorsque vous avez oublié / perdu le mot de passe. C'est pourquoi une information inhérente que vous ne pouvez pas facilement perdre s'adapte bien. Cela signifie que la première hypothèse de la question ne correspond pas.

Quant à la deuxième partie qui pourrait être ou déjà connue du public: a) Ces questions de sécurité sont généralement (si elles sont correctement faites) une option, vous n'en ont pas nécessairement besoin - et vous pouvez en choisir un parmi tant d'autres. Il appartient à l'utilisateur de décider de la notoriété publique de chacun dans son contexte (en particulier, si un attaquant connaît probablement son nom normal au stade où la question de sécurité doit trouver une réponse).
b) correctement implémentées, la question de sécurité ne devrait être qu'une partie d'une authentification multi-voies, car elles sont toujours plus faciles à casser qu'un mot de passe, une autre peut être l'accès à l'adresse e-mail avec laquelle vous avez créé un compte.

Ainsi, sur le spectre de la commodité à la sécurisation, la question initiale peut être plus pratique pour les utilisateurs, ce n'est pas nécessairement toujours un mauvais choix. Mon film préféré, le nom de mon animal de compagnie, etc. ne sont pas tous les secrets les plus puissants.

Comme pour b) Paypal utilise cette approche pour utiliser une approche d'authentification multi-voies lorsque vous essayez de réinitialiser votre mot de passe. Dans leur processus, vous devez fournir des réponses à plusieurs questions de sécurité de ce type. De plus, vous devez avoir accès à votre adresse e-mail. Vous pouvez également choisir de recevoir un appel vers un numéro de téléphone enregistré et utiliser le code que vous obtenez comme deuxième méthode d'authentification. Cela fait partie d'un mélange de mesures - l'objectif étant de fournir un compromis entre commodité et sécurité.