Firma Apple zaczęła ostatnio skłaniać użytkowników do wybrania trzech pytań zabezpieczających dla ich kont iTunes Store. Przeniesienie pomaga upewnić się, że jesteś autoryzowanym posiadaczem konta, jeśli masz problemy lub zapomnisz hasła.
Pomysł ma dobre intencje i rozsądną ochronę dla Apple i jego klientów. Niestety, sposób, w jaki Apple stawia te pytania bezpieczeństwa i same pytania, podkreślają stare powiedzenie o drodze do piekła wybrukowanej dobrymi intencjami.
Zacznijmy od sposobu, w jaki Apple stawia pytania. Zamiast ostrzegać użytkowników z wyprzedzeniem za pośrednictwem poczty e-mail lub powiadomienia push, że zacznie dodawać taki środek bezpieczeństwa, Firma Apple postanowiła po prostu wyświetlić alert, który użytkownicy widzą podczas próby dokonania zakupu (lub pobrania aktualizacji aplikacji na iOS) urządzenie).
Oznacza to, że użytkownicy nie otrzymują ostrzeżenia, gdy widzą alert proszący ich o pytania zabezpieczające. To nie jest zbyt dalekie od tego, jak inne firmy wprowadziły pytania bezpieczeństwa. Kiedy większość firm wprowadza podobne środki bezpieczeństwa, pierwszą oznaką ich stosowania może być monit przy logowaniu do bankowości internetowej lub konta witryna zarządzania – ale większość firm pozwala ominąć ten monit za pierwszym razem (i często przez ograniczony czas po tym) i kontynuować biznes.
Apple nie oferuje tej opcji. Otrzymasz monit i możesz przejść do pytań lub anulować. Jeśli anulujesz, nie będziesz mógł dokończyć zakupu ani pobrania. Oznacza to, że większość ludzi otrzymuje monit o pytania zabezpieczające, które będą stanowić ważną ochronę tożsamości, w nieodpowiednich momentach. Może to prowadzić do odpowiedzi z literówkami, problemów z wielkimi literami, a nawet odpowiedzi z mankietu, których użytkownicy mogą nie pamiętać.
Potem są same pytania. Niektóre z nich są dość standardowe, jak twój pierwszy samochód. Niektóre są niezwykle osobiste, jak miasto, w którym pocałowano cię po raz pierwszy. Niektóre są trochę dziwaczne, jak twój najmniej ulubiony nauczyciel.
Co bardziej niepokojące, niektóre z nich mogą być łatwe do zrozumienia przez kogoś. Dla większości ludzi miastem pierwszego pocałunku jest miasto, w którym dorastali – coś, co nie jest trudne do znalezienia (oś czasu na Facebooku sprawia, że jest to bardzo łatwe). W przypadku młodszych osób pytanie o pierwszego nauczyciela może być łatwe do odpowiedzi na podstawie tego, gdzie chodziłeś do szkoły.
Jak na ironię, internetowe narzędzie Apple dla zarządzanie Twoim Apple ID, oferuje znacznie lepszą opcję, ponieważ pozwala na stworzenie własnego pytania zabezpieczającego. Na przykład pytanie bezpieczeństwa, które tam wpisałem, jest czymś, na co tylko ja znam odpowiedź – i każdy, kto zgadnie to pytanie, zostanie błędnie skierowany do błędnej odpowiedzi z powodu sformułowania I wybrał.
Rodzi to kolejny problem z procesem. Te pytania dotyczą Twojego konta iTunes, które dla wielu z nas jest naszym Apple ID. Te pytania różnią się od tych używanych do zarządzania Twoim Apple ID w witrynie Apple. Oczywiście możliwe jest posiadanie więcej niż jednego Apple ID (nawiasem mówiąc, nie ma mechanizmu ich łączenia). Wskazuje to na większy problem, który polega na tym, że Apple musi oczyścić i usprawnić korzystanie z identyfikatorów Apple ID w różnych usługach.
Ostatecznie jest to krok w kierunku doskonałej ochrony konta, ale jest to mylące, z którym Apple nie poradził sobie dobrze. W rezultacie może łatwo przerodzić się w duży ból głowy, zapewniając jednocześnie mniej niż optymalne bezpieczeństwo.