Security 为什么不'；“的答案是什么？”；安全问题“；是否需要安全存储？

我已经在一些地方做了一些工作，在这些地方，密码在数据库中被加密和散列，但安全问题的答案存储在纯文本中。刚才，我为我的水电公司注册了在线门户，在帐户管理部分，安全问题和答案显示给我

鉴于安全问题和答案通常允许用户以变通方式访问帐户，而不需要密码，为什么允许以纯文本形式存储这些问题和答案？尤其是因为人们通常有有限的安全问题可供选择，所以他们可能在许多网站上使用相同的答案。

对于“为什么不需要安全地存储答案？”没有答案，因为答案应该如此

密码实际上也是一个安全问题的答案（“您的密码是什么？”），因此您也可以将其作为授权用户的一种方式。

对于“为什么不需要安全存储答案？”没有答案，因为答案应该被安全存储

---

密码实际上也是一个安全问题的答案（“你的密码是什么？”），因此你也可以使用它来授权用户。

安全问题的问题是，它们在设计上完全不安全。它们以纯文本形式存储的原因是，人类偶尔需要查看它们，并使用它们来验证答案是否正确。如果用户对他们最喜欢的食物的回答是“爆米花”，而他们的回答是“爆米花”，这是一个有效的答案

对安全问题的答案进行哈希运算需要用户准确地知道他们以前的答案，就像它是密码一样，而且我们已经知道用户忘记了他们的密码（在那些情况下，用户是试图访问帐户的人）。安全问题的关键在于，它们是真实的东西，可以记住，用户不必将其视为密码

类似地，由于这些答案与密码不同，因此正如您所注意到的，它们有时会显示回用户。这样，当答案不再正确时，他们可以更改答案。密码是任意响应，但安全问题答案不是任意的。随着时间的推移，人们的最爱，甚至他们认为激励他们的是什么或是谁，都会发生变化。当用户被问到他们最喜欢的电影时，他们可能会选择昨晚看的那部，而一年后完全忘记了他们对这部电影的评价如此之高

就这一点而言，对安全问题的答案进行散列的效用有限（主要是对知道随机回答的安全极客）。它们的本质是公开的。散列用户最新汽车的型号并不能阻止黑客仅仅阅读他们的Facebook提要

安全问题的安全答案是不要使用它们。从技术上讲，它们应该像密码一样对待，因为实际上它们都是密码。但是，如果我们对安全问题的答案进行散列，要求用户选择强有力的答案，并且不允许他们使用容易猜测的答案，那么这些答案就没有意义了

---

请记住，安全问题和答案的目的是绕过不知道密码的情况。越像密码一样对待它们，它们就越没有用处。

安全问题的问题是，它们在设计上完全不安全。它们以纯文本形式存储的原因是，人类偶尔需要查看它们，并使用它们来验证答案是否正确。如果用户对他们最喜欢的食物的回答是“爆米花”，而他们的回答是“爆米花”，这是一个有效的答案

对安全问题的答案进行哈希运算需要用户准确地知道他们以前的答案，就像它是密码一样，而且我们已经知道用户忘记了他们的密码（在那些情况下，用户是试图访问帐户的人）。安全问题的关键在于，它们是真实的东西，可以记住，用户不必将其视为密码

类似地，由于这些答案与密码不同，因此正如您所注意到的，它们有时会显示回用户。这样，当答案不再正确时，他们可以更改答案。密码是任意响应，但安全问题答案不是任意的。随着时间的推移，人们的最爱，甚至他们认为激励他们的是什么或是谁，都会发生变化。当用户被问到他们最喜欢的电影时，他们可能会选择昨晚看的那部，而一年后完全忘记了他们对这部电影的评价如此之高

就这一点而言，对安全问题的答案进行散列的效用有限（主要是对知道随机回答的安全极客）。它们的本质是公开的。散列用户最新汽车的型号并不能阻止黑客仅仅阅读他们的Facebook提要

安全问题的安全答案是不要使用它们。从技术上讲，它们应该像密码一样对待，因为实际上它们都是密码。但是，如果我们对安全问题的答案进行散列，要求用户选择强有力的答案，并且不允许他们使用容易猜测的答案，那么这些答案就没有意义了

---

请记住，安全问题和答案的目的是绕过不知道密码的情况。它们越像密码一样被对待，就越没有用处。

事实上，安全问题是一种不好的做法。研究表明，黑客在恢复用户密码方面比原始用户做得更好，原始用户经常忘记自己的答案。NIST最近使用秘密问题进行帐户恢复。以雅虎事件为例，黑客恢复了雅虎的数据库公司