Le risposte alle domande di sicurezza devono essere case-sensitive?

Naviga le tue risposte
15

Domanda
In caso di domande di sicurezza utilizzate per reimpostare la password di un account, qual è la migliore prassi per la gestione della distinzione tra maiuscole e minuscole nelle risposte alle domande di sicurezza?

Scenario
Una procedura di reimpostazione della password dell'account su cui sto lavorando funziona in tre passaggi. Il primo passaggio richiede all'utente di fornire tre informazioni identificabili, incluso il nome utente, la data di nascita e il numero di identificazione. Una volta superato questo controllo, viene loro posta la domanda / le domande di sicurezza (che hanno precedentemente impostato). Se hanno superato tale controllo, impostano una nuova password.

Quindi, dovremmo richiedere la distinzione tra maiuscole e minuscole sulla domanda di sicurezza? Alcune discussioni interne ci stanno indirizzando verso "no". Una giustificazione che abbiamo trovato è, diciamo, che abbiamo usato la stessa domanda di sicurezza se l'utente ci ha chiamato come controllo per verificare la sua identità. Se ottengono la risposta giusta, ottengono la risposta giusta. Non stanno spiegando verbalmente il caso della risposta a noi. Quindi, dovremmo farlo su un modulo web?

Non riesco a trovare uno "standard del settore" o una "best practice", quindi spero di ottenere un feedback da persone con esperienza in questa pratica o da esperti in materia di sicurezza.

    
posta Michael Irigoyen 01.06.2011 - 17:27
fonte

3 risposte

16

Le "risposte alle domande di sicurezza" sono simili alle password ausiliarie, che gli utenti non utilizzeranno quotidianamente. Ricordare una password che non si scrive quasi mai è difficile. Richiedere il caso esatto è probabile che l'utente non risponda correttamente.

Da un punto di vista teorico, una "domanda di sicurezza" è già un enorme punto debole, che si tollera perché alcuni utenti dimenticheranno la propria password e si vuole gestire tale caso con altrettanta automazione il più possibile, e il fatto di non porre alcuna domanda di sicurezza sarebbe ancora peggiore dal punto di vista della sicurezza. Quindi, il valore aggiunto delle domande di sicurezza è che consentono un processo di reimpostazione della password non completamente aperto che può comunque essere condotto automaticamente, ossia a un costo minimo per il server. La distinzione tra maiuscole e minuscole probabilmente eliminerebbe gran parte di quel valore. In realtà, raccomanderei persino la normalizzazione sopprimendo gli spazi bianchi, la punteggiatura e gli accenti.

    
risposta data 02.06.2011 - 01:33
fonte
1

Le domande di sicurezza sono fondamentalmente un'altra password. Idealmente dovrebbe quindi avere le stesse proprietà di una password, vale a dire una lunghezza ragionevole (maggiore di 8 caratteri) che è la più importante per difendersi da supposizioni e bruteforce.

Questo studio di ricerca è stato pubblicato qui in una domanda precedente: link

Le sue conclusioni sono che la complessità non è così importante contro una voce online. Pertanto, se controlli le parole di dizionario di base, il nome utente ecc, la lunghezza sufficiente e il blocco dell'account o il backoff esponenziale, non c'è alcun vantaggio significativo nel richiedere anche la complessità.

Ovviamente il meglio sarebbe eliminare le domande segrete e aggiungere un metodo di reimpostazione della password fuori banda come SMS one time password o anche email one time password / link. Oppure smetti di gestire completamente le password e supporta un metodo di autenticazione OAuth (ad esempio Facebook connect) o Open-ID (Google ecc.).

    
risposta data 01.06.2011 - 17:53
fonte
0

Come è stato affermato in entrambe le risposte precedenti, le "domande di sicurezza" sono solo password e travestimento e dovrebbero essere trattate come tali. Non impostiamo le tue password su valori facilmente individuabili o pubblicamente disponibili, quindi perché lo facciamo alle domande sulla sicurezza? Si tratta di problemi e conosco personalmente le persone che si sono messe nei guai in questo modo.

Io do sempre le risposte completamente inventate alle domande di sicurezza e poi le tratta allo stesso modo delle password reali, cioè uso del software di gestione delle password. Consiglio vivamente a tutti di fare lo stesso.

    
risposta data 15.01.2013 - 04:27
fonte

Leggi altre domande sui tag

Se ho due identiche immagini di macchine virtuali linux, genereranno numeri casuali identici? connessione desktop remoto a una macchina potenzialmente compromessa