Come trattare le domande di sicurezza errate non opzionali?

Naviga le tue risposte
19

Ogni tanto devo creare un account su un sito che, sebbene a quanto pare non memorizzi almeno la mia password in testo in chiaro, mi obbliga ancora a scegliere tra un numero limitato di domande di sicurezza che possono essere utilizzate per il recupero della password scopi. Dal momento che le domande sono di solito moralmente facili da rispondere con un googling o un social engineering (alla voce "Qual è il nome da nubile della madre?") Qual è l'approccio corretto quando non posso evitare di usare questo account?

    
posta Tobias Kienzler 28.01.2013 - 12:37
fonte

4 risposte

21

Le "domande di sicurezza" sono solo una password alternativa che non viene usata spesso, ma che, presumibilmente, non sarà dimenticata dall'utente. Poiché è una informazione equivalente alla password, trattala come tale: usa le password vere ad alta entropia come risposta alle domande di sicurezza. Naturalmente, dal momento che non li inserirai spesso, dovresti scriverli su un foglio, conservarli in un posto sicuro (sono pensati per essere usati come backup per la "vera" password, non ne hai bisogno spesso).

(Nota: la maggior parte dei sistemi gestirà le risposte alle domande di sicurezza in modo insensibile alle maiuscole e minuscole, che diminuisce l'entropia di quella password, quindi renderà ancora più casuale 15 lettere casuali).

    
risposta data 28.01.2013 - 13:40
fonte
5

La mia attuale "soluzione" sta entrando in una frase arbitraria e senza senso che non intendo nemmeno ricordare e invece memorizzo quella e la mia password in file KeePass (separati), e magari lamentarmi con il webmaster di questo. In questo modo è improbabile che qualcun altro possa rispondere alla domanda "sicuro" senza alcuno sforzo minore del tentativo di crackare direttamente la mia password, ma non sono ancora troppo contento di questo ...

    
risposta data 28.01.2013 - 12:37
fonte
3

Ho visto varie persone riempire tutto con spazzatura, per garantire che nessuno possa usarle per accedere socialmente all'ingegneria.

Significa che dovrai fare molta attenzione a non dimenticare il tuo nome utente / password, in quanto potresti non avere alcun percorso alternativo: -)

    
risposta data 28.01.2013 - 13:36
fonte
3

Pensa a un elenco di domande che ritieni siano buone domande di sicurezza per te. Usali nei siti migliori che ti consentono di esprimere le tue domande sulla sicurezza. Per esempio l'auto di Ben in HS ?. Per i siti con le domande morali (ad esempio il nome da nubile della madre), mappare le loro domande alle tue domande. Quindi la risposta al nome di Mother's Maiden potrebbe essere "1960" (poiché quello che ricordo era come fosse l'antica macchina di Ben). Puoi usare la stessa mappatura ogni volta (cioè il nome da nubile è sempre mappato al 1960) o li mescoli e tieni semplicemente la "chiave" (cioè quale domanda idiota va con quale vera domanda).

Il problema con un segreto condiviso è che non può essere un segreto se è pubblico. Quanto sopra ti consente di spostare il "segreto" in "mappatura delle domande"

    
risposta data 28.01.2013 - 13:51
fonte

Leggi altre domande sui tag

Come verificare che qualcuno sia chi dice di essere online? Dove posso trovare un tutorial BURP solido? [chiuso]