Le domande di sicurezza sovvertono le password?

Il modo in cui le domande di sicurezza sono utilizzate da un sito, determina se indeboliscono il meccanismo di autenticazione apparentemente più strong (dell'uso di buone password).

In genere, i sistemi che consentono l'accesso agli utenti dopo aver risposto a una domanda di sicurezza, sono più deboli dei sistemi che comunicano una password (temporanea) all'utente tramite un canale (diverso e sicuro). La precedente dichiarazione trasmette una best practice, e alcuni sistemi non hanno bisogno di implementarlo interamente; alcuni sistemi forniscono una nuova password (che non deve essere modificata da un utente), e ci sono altri sistemi che comunicano la password tramite un canale non sicuro.

Il riempimento di una domanda di sicurezza con caratteri casuali non è necessariamente un buon approccio (anche se è meglio che avere una risposta più piccola con bassa entropia), poiché renderebbe difficile la memorizzazione, determinando un potenziale scenario di lock-out (da dove questo spesso non ha senso di recupero). Va ricordato che le domande di sicurezza spesso non vengono cambiate periodicamente a differenza delle password. La risposta dipende quindi da quanto è protetta la risposta (sia dall'utente che dal sistema), da quanto è pubblica la risposta e da quanto frequentemente può essere cambiata la domanda (e la risposta).

La lettura di questa domanda relativa a StackOverflow è raccomandata, per le risposte discuti la comunicazione fuori banda, tra le altre questioni come il potenziale scenario di blocco.

Sì.

Un nome migliore per queste domande di "sicurezza" sarebbe "domande di convenienza". Sono un modo alternativo per accedere allo stesso account, ignorando la password. Poiché le risposte a tali domande sono generalmente composte da parole esistenti, sono il bersaglio perfetto per gli attacchi di dizionario o anche solo per indovinare. Le cose peggiorano ancora quando l'aggressore ha già alcuni dettagli personali.

Il meglio che puoi fare se devi iscriverti a qualcosa che presenta una "domanda di sicurezza" (e lo rende obbligatorio) è in effetti inserire semplicemente una lunga sequenza di caratteri inutili.

Uno studio del 2015 basato sull'implementazione di domande di conoscenza personale di Google contiene molte prove per i numerosi problemi che hanno con loro: Segreti, Bugie e Recupero dell'account: lezioni dall'uso delle domande di conoscenza personale su Google

Alcuni risultati:

• le domande segrete generalmente offrono un livello di sicurezza molto più basso rispetto alle password scelte dall'utente
• una parte significativa degli utenti (37%) che ha ammesso di fornire risposte false lo ha fatto nel tentativo di renderli "difficili da indovinare" anche se in generale questo comportamento ha avuto l'effetto opposto in quanto le persone "induriscono" le loro risposte in un prevedibile modo
• le risposte segrete hanno una memoria sorprendentemente scarsa, con un tasso di successo del 60%, contro l'80% per i codici di ripristino SMS
• le domande che sono potenzialmente le più sicure (ad esempio qual è il tuo primo numero di telefono) sono anche quelle con la peggiore memorabilità

Concludono che

it appears next to impossible to find secret questions that are both secure and memorable. Secret questions continue have some use when combined with other signals, but they should not be used alone and best practice should favor more reliable alternatives.

Se vuoi che non sia responsabile? La maggior parte di tali siti richiede di reimpostare la password per posta, quindi avranno bisogno delle tue informazioni e-mail per arrivare ovunque, la risposta è principalmente per impedire alle persone di infastidirti reimpostando costantemente la password.

Se puoi reimpostare una password con la domanda "segreta", allora quella è una sicurezza scadente.

Sì. Se per nessun altro motivo sia la tua password sia la tua domanda / risposta segrete sono segreti condivisi e le migliori pratiche impongono di non condividere questi segreti con terze parti, ma è esattamente quello che ti viene chiesto quando fornisci una domanda segreta / risposta.

Quello che dovresti fare invece di "seguire le istruzioni" è quello di creare un semplice algoritmo che ti permetta di generare la risposta data la domanda, il nome del sito e la risposta vera.

Le mie domande segrete sono di solito "Qual è la tua password?" E poi la risposta è in realtà qualcos'altro.

Rendo la risposta il più casuale possibile e il più a lungo possibile e la memorizzo insieme alla password stessa. Quindi se i numeri non sono ammessi, io uso tutte le lettere. Ma di solito ne faccio la maggior parte con una lunghezza di 20-30 caratteri alfanumerici.

Questo è quello che faccio con la posta elettronica basata sul web (gmail) e tutte le mie password bancarie. La mia banca è vulnerabile a un attacco denial of service (le password sbagliate bloccheranno il mio id utente) quindi avrei dovuto scegliere un id utente che fosse anche casuale e di massima lunghezza e mantenuto segreto.

Sì è meglio riempirlo con una lunga stringa contenente un carattere casuale, piuttosto che rispondere alla domanda reale o dare una risposta breve. Se hai deciso di seguire questo approccio, devi essere sicuro di ricordarlo poiché è molto probabile che tu lo dimentichi.