Довольно малоизвестный факт, что уязвимость большинства систем аутентификации в том, что злоумышленник может получить доступ к чужому аккаунту, используя слабости секретного вопроса. Секретный вопрос задается, как известно, если клиент забыл свой пароль, с целью восстановления доступа к счету. Так может это даже не уязвимость, а целая угроза безопасности некоторых веб-сайтов? Позвольте мне объяснить...

Пароли присутствуют в области информационных технологий с момента основания, но только в последнии пять-шесть лет, когда компьютеры стали достаточно мощными, у нас появилась возможность взламывать их в разумные сроки.

Теперь уже на многих сайтах можно найти информацию по взлому паролей. К примеру, на сайте wpacracker.com показано, как легко взломать пароль от Wi-Fi, а у Elcomsoft выпущена программа для восстановления паролей, с возможностью подключения мощности видеокарты, для ускорения процесса взлома.

Довольно часто в Web–системах приходиться сталкиваться с ситуацией, когда одна информация должна быть доступна определенному кругу лиц или конкретному лицу, а другая — другому или же быть общедоступной.

Проблема — открывать или не открывать доступ к некоторой информации в данном конкретном случае — и есть проблема аутентификации и авторизации.