Социальная инженерия в Instagram

[laminor4ik]

Как-то очень удачно получилось взять первый попавшийся аккаунт с 2,5к подписчиков, без двухфакторной аутентификации и почтой на Яндексе. А в виду наличия достаточно компрометирующих данных хочется верить, что это постановка, либо девушка уже знает, что ее аккаунт взломали. По любому кто-то тоже попытается восстановить пароль от данного аккаунта с помощью вашей инструкции.

[trolley813]

Вот поэтому «контрольный вопрос» в свое время и назывался «секретным» — потому что он должен быть таким, что уже сам факт, когда кто-то пытается узнать на него ответ, должен насторожить. А имя собаки к такому явно не относится.

[Eldhenn]

Да, но тем не менее многие, думаю, используют подобные «секретные» вопросы. Честно говоря, довольно красивая соц. инженерия. Всё честно, всё легально, вопросы комар носа не подточит.

[muxa_ru]

А эталонным секретным вопросом, в те благословенные времена, было "девичья фамилия матери"

[maxzh83]

Из статьи может получиться неплохой сюжет для России 24 о том, как нынче небезопасно в интернетах.

[Leeloush_Keer]

Если есть возможность самому задать секретный вопрос ставлю "В чем смысл жизни, вселенной и вообще?" И ответ на него, внимание, вообще не число.

[Metotron0]

Так ведь и у Адамса число — это не ответ на вопрос "В чём смысл жизни?", а ответ на главный вопрос жизни, вселенной и всего такого. А в чём смысл жизни, в книге не говорится.

[Leeloush_Keer]

я ошибся в формулировке: Главный вопрос жизни, вселенной и вообще"
В принципе любой вопрос с ответом, который не является логичным достаточно секурный.
Год рождения: твин пикс. Кличка собаки: пропиленопенополиуретан. Любимая еда: велосипедная цепь, etc

[Mur81]

Если ресурс требует секретный вопрос, то у меня все ответы (для каждого ресурса свой) такого вида "hdhxig¥^#'44sv×£/×@".
Хранятся в KeePass.

[ZuOverture]

Если ответ на секурный вопрос не является логичным даже для вас, то это плохой вопрос — вы просто забудете в чем там фишка, если не запишете ответ. Идеально, если ответ логичен для вас и только для вас, при этом подобрать его нельзя. Например у меня есть не слишком занимательная история про опоздание на самолет, сюрреальную причину которой я фиг когда забуду. Но, разумеется, другая сторона должна предоставить возможность ввода персонального вопроса.

[w0den]

В идеале секретные ответы должны быть разными для каждого сайта. Особенно, если учесть, что, в отличие от паролей, скорее всего никто не хэширует секретные ответы.

Поэтому, как и Mur81, использую менеджер паролей, чтобы генерировать и хранить секретные ответы.

[ZuOverture]

Так можно, если неопасно потерять базу менеджера паролей или некритично время доступа, то есть для тех сайтов, которые обычно даже не предлагают опцию секретного вопроса. Для критичных мест, вроде банкинга, ответ на секретный вопрос должен всплывать в голове мгновенно. Таких мест, по крайней мере у меня, мало, так что проблемы придумать несколько вопросов не было.

[Metotron0]

Главный вопрос в книге только собирались узнать, для этого, если я правильно помню, строили Землю. Но я могу помнить неправильно. Я лишь помню, что их компьютер дал ответ, но вопрос остался не известен.

[Andrylast]

Ожидаемо у нас просят ответить на вопрос «Имя собаки».

Почему вдруг «ожидаемо»?
Там «ожидаемо» мог был быть вопрос про девичью фамилию матери, и тогда общение на эту тему в директе было бы куда более подозрительным.

[NickTuchkov]

На своём опыте скажу, большинство людей не используют двухфакторную аутентификация в Instagram.

А можно про опыт по-подробнее? -_-

[Ahen]

Угум. Такой-то подсудный опыт.
На моем же опыте — у большинства активных пользователей все-таки активна двухфакторная авторизация, ибо она требуется для перевода аккаунта в бизнес режим с доступом к различной статистикой и инстаграм сам предлагает провести данную процедуру.

[MINYSMOAL]

Прошло лет 10, а «секретные вопросы» так и не поменялись. Правда тогда так ломали icq (: