Piszesz, że Twoja dziewczyna zresetowała hasło do poczty, bo znała Twoją datę urodzenia (swoją drogą to ewidentny przykład jak NIE POWINNO wyglądać pytanie pomocnicze). Ale gdybyś podczas konfigurowania tych opcji podał swoją datę urodzenia pisaną wspak, to czy ona lub ktokolwiek inny zresetowałby hasło? Prawdopodobieństwo jest niewielkie – pewnie równe temu, co złamanie głównego hasła.

Nawet na tak banalne pytanie, jak ulubiony kolor można odpowiedzieć tak, żeby nikt nie zgadł. jaki jest Twój ulubiony kolor? A jak się go pisze, np. po estońsku? Nie musisz tego pamiętać, ale będąc online jesteś wstanie z łatwością odtworzyć tą informację.

Uwierzytelnianie hasłem polega na udzieleniu odpowiedzi na pytanie podstawowe, które brzmi: “Jakie jest hasło?”.
Aby bezpieczeństwo pozostało na niezmienionym poziomie pytanie pomocnicze powinno być podobne: “Jakie jest drugie hasło?” (pamiętaj, że atakujący może sobie wybrać, na które pytanie chce odpowiadać).
Tylko po co mieć 2 hasła? Jaka jest szansa, że zapominając pierwsze będziesz jednak pamiętał drugie?
Inną sprawą pozostaje bezpieczeństwo tego drugiego hasła. Obawiam się, że w 95% przypadków odpowiedzi na pytania pomocnicze są przechowywane w postaci jawnego tekstu.
Co do cudowania z pisaniem wspak i kolorem po estońsku – hasła na dziś: atak słownikowy, wielkość przestrzeni hasła.

Mój przykład pokazuj, że takie pytania są łatwe dla kogoś zdeterminowanego i de facto nie stanowią zabezpieczenia. To co Ty proponujesz to jakaś poprawa, ale nadal Twoje konto jest chronione słabiej niż powinno być. Dokładniej jest chronione tak jak najsłabsze “ogniwo” ochrony.
Jeżeli już muszą być pytania pomocnicze to powinno ich być kilka i powinny być losowane 3 lub 4. Choć nadal jest to jednak dziura w bezpieczeństwie.

Ja po tym jak kiedyś moja ówczesna dziewczyna chcąc skasować mi wysłanego wcześniej niechcący wirusa weszła na moje konto pocztowe [na WP] używając pytania pomocniczego, którym była moja data urodzenia przestałem ustawiać hasło pomocnicze, a jak nie można to wpisuje tak w pytanie jak i w odpowiedź ciągi bezsensownych znaków.

Niepotrzebnie się zniechęciłeś.

Piszesz, że Twoja dziewczyna zresetowała hasło do poczty, bo znała Twoją datę urodzenia (swoją drogą to ewidentny przykład jak NIE POWINNO wyglądać pytanie pomocnicze). Ale gdybyś podczas konfigurowania tych opcji podał swoją datę urodzenia pisaną wspak, to czy ona lub ktokolwiek inny zresetowałby hasło? Prawdopodobieństwo jest niewielkie – pewnie równe temu, co złamanie głównego hasła.

Nawet na tak banalne pytanie, jak ulubiony kolor można odpowiedzieć tak, żeby nikt nie zgadł. jaki jest Twój ulubiony kolor? A jak się go pisze, np. po estońsku? Nie musisz tego pamiętać, ale będąc online jesteś wstanie z łatwością odtworzyć tą informację.

Przykłady można ciągnąć w nieskończoność – kwestia kreatywności.

http://blog.konieczny.be/2009/06/23/szyfrowanie-poczty-w-gmail-u-za-pomoca-pgp-gpg/

Ja po tym jak kiedyś moja ówczesna dziewczyna chcąc skasować mi wysłanego wcześniej niechcący wirusa weszła na moje konto pocztowe [na WP] używając pytania pomocniczego, którym była moja data urodzenia przestałem ustawiać hasło pomocnicze, a jak nie można to wpisuje tak w pytanie jak i w odpowiedź ciągi bezsensownych znaków.

Ja postępuję identycznie. Pytania pomocnicze to idiotyczny pomysł – niestety sporo serwisów je stosuje.
To nic innego jak dodatkowy zestaw login + hasło ale o wiele prostszy niż ten podstawowy ponieważ tu login zawiera zwykle podpowiedź do hasła.

Gorzej jeśli na przykład w ręce niepowołanych osób dostaną się wszelkiego rodzaju umowy, które z założenia mają charakter poufny – wtedy już nie tylko my mamy problem ale również nasi klienci czy też firmy z nami współpracujące.

Dlatego my w naszej firmie krytyczne maile przesyłamy szyfrując je kluczami PGP :) Problem zostaje wtedy rozwiązany automatycznie. Nie mówiąc już o tym, że nikt z nas nie jest na tyle naiwny by trzymać istotne dane gdzieś na cudzych serwerach! Gdy pisałeś o zaletach klienta pocztowego google, ja twardo stałem na ziemi i broniłem klientów desktopowych – to jest kolejny przykład na to dlaczego warto jednak z nich korzystać… oczywiście zabezpieczenie własnego komputera to osobny problem. Ale ja w życiu nie odważyłbym się wejść do jakiejś kawiarenki i zalogować się na swoje konto firmowe używając komputera na którym diabli wiedzą co działa w tle :/ Call me paranoid :)