Комментарий ЯНЗ

Контрольный вопрос — штука обоюдоострая. Во многих случаях список возможных вопросов ограничен, а ответы неоднозначны и могут быть известны не только самому пользователю.

С одной стороны, сам Петя через некоторое время может не вспомнить, что в момент регистрации он решил, что его любимое блюдо — пельмени. С другой стороны, злоумышленник, который захочет взломать Петину почту, может знать, что Петя очень любит именно пельмени, а может просто перепробовать несколько десятков наиболее популярных блюд и попасть на верный ответ.

Поэтому я, например, пользуюсь контрольными вопросами специфическим образом. Если есть возможность самому сформулировать вопрос (строго говоря, только такой подход может дать реальную безопасность, но почему-то он применяется редко), я задаю вопрос, смысл которого до конца понятен только мне, и правильный ответ на который я точно не забуду и смогу определить однозначно.

Если же вопрос приходится выбирать из списка, выбираю любой, но типового ответа на него не даю, а ввожу в качестве ответа некий код, фактически еще один пароль, но такой, который я тоже не забуду.

Некоторую степень риска создает то, что таких универсальных паролей у меня мало (иначе не было бы гарантии, что я их все помню), поэтому приходится использовать один и тот же код в разных системах. Тем самым у недобросовестного администратора той или иной системы появляется возможность узнать мой код и попробовать применить его в других местах, но вероятность этого я оцениваю как достаточно низкую. Хотя если нужно защищать действительно конфиденциальные данные, пренебрегать таким путём взлома не следует.