Jak na kontrolní otázky při zapomenutí hesla?

Na co by se měly ptát webové aplikace při zapomenutí hesla? Vzpomínáte, jak se útočníci za chvilku dokázali nabourat do e-mailu americké viceprezidentské kandidátky Sarah Palinové na Yahoo?

Jaké kontrolní otázky jsou bezpečné v době sociálních sítí? Místo narození či jména matky za svobodna lze poměrně snadno dohledat... Objevuje se proto koncept, který tvrdí, že nejhůře se o člověku zjistí časové údaje z nedávné minulosti typu Co jste včera večeřeli nebo Kdy jste naposledy použili e-mail. Uhádne se hůř otázka, kdy byl odeslán poslední e-mail, nebo komu byl odeslán? A na jaké problémy s implementací by tento systém narazil?

Více viz článek na SecurityWorldu...