Perché il nome da nubile della madre è ancora usato come domanda di sicurezza?

162

Di tanto in tanto, alcuni siti web chiedono di inserire una domanda di sicurezza e una risposta per questo. L'elenco delle domande è standard e di solito include "Qual è il nome da nubile di tua madre?".

Alcune persone usano il vero nome da nubile della madre in modo che siano sicuri di poter ricordare cosa fornire quando richiesto (ad esempio come parte del processo per recuperare l'account). Ciò significa che si tratta di informazioni fissate per un periodo di tempo molto lungo. Se accade che alcune applicazioni Web vengano violate e tale risposta sia associata a un indirizzo e-mail (o, peggio, a informazioni di identificazione personale), può potenzialmente creare una vulnerabilità per altre applicazioni Web.

Inoltre, il nome da nubile della madre potrebbe essere condiviso nello spazio pubblico.

Supponendo problemi precedenti con questa domanda di sicurezza (o qualsiasi altra domanda di sicurezza che si basa su una costante nella vita di una persona):

Perché il nome da nubile della madre viene ancora utilizzato come domanda di sicurezza?

    
posta Alexei 16.05.2018 - 16:19
fonte

8 risposte

229

Perché le persone sono pigre e / o incompetenti. E, beh, sai, Internet è pieno di scimpanzè .

Direi che tutte le domande di sicurezza sono pessime, ma l'uso del nome da nubile della madre è eccezionalmente negativo:

  • Almeno in Svezia, posso scoprire il nome da nubile di qualcuno solo con una semplice chiamata all'ufficio delle imposte. È letteralmente informazione pubblica.
  • È il 2018, ed è abbastanza comune per le coppie adottare il nome della sposa al momento del matrimonio. Il tuo cognome da madri è il tuo cognome. Grande.
  • Luis Casillas aggiunge giustamente:

    There are dozens of countries, with billions of inhabitants between them, where women don't change their legal name when they marry. The United States in particular has huge immigrant minorities of people from such countries.

Seriamente, non ci sono scuse per questo. È solo cattivo.

    
risposta data 16.05.2018 - 16:30
fonte
27

"Domande sulla sicurezza" potrebbero essere l'unica soluzione a un problema difficile. Hai un cliente, hanno perso la password (e il loro accesso e-mail) e ti piacerebbe entrambi recuperarli.

Potrebbe non essere proporzionato farli eseguire personalmente la verifica presso i vostri uffici o con un notaio, che sarebbe davvero l'unica soluzione totalmente sicura (abbinare l'identità del governo sicuro contro il loro aspetto / biometria).

Penso che le banche (proprio come per esempio) che utilizzano questo tipo di verifica abbiano statistiche abbastanza buone sulla prevalenza di ogni tipo di frode e conoscano i rischi e i benefici (ad esempio, la mia banca ha bisogno di identificarmi quando si viaggia all'estero , non possono e mi perdono un cliente insieme a decine di migliaia di profitti a vita - rispetto a consentire l'uso fraudolento di una carta e a perdere decine di migliaia direttamente - ma sanno che solo il 5% delle transazioni segnalate sono effettivamente fraudolente.

    
risposta data 18.05.2018 - 03:27
fonte
26

Letargia e / o inerzia

Le istituzioni più seriamente basate su queste informazioni sono state essenzialmente segrete per alcuni decenni. L'età delle violazioni dei dati pubblicizzate è molto recente.

La maggior parte delle organizzazioni reagisce lentamente ai cambiamenti.

Semplice come

    
risposta data 16.05.2018 - 16:30
fonte
24

False ipotesi.

Le domande di sicurezza, proprio come i requisiti di password "complessi", sono radicate in quella che viene chiamata best practice ma in realtà non lo è. Come una tradizione orale, molte di queste pratiche vengono passate da una persona di sicurezza a quella successiva, e raramente messe in discussione (ogni volta che vengono interrogate, spesso si scopre che sono false).

Le domande di sicurezza sono una di queste cose. Qualcuno ha avuto un'idea ragionevole, e molto presto si è evoluta una lista abbastanza standard di tali domande, e da allora tutti hanno praticamente copiato da lì, senza fare domande.

Quindi sì, hai ragione, questa e quasi tutte le altre "domande di sicurezza" sono un pericolo e in genere molto, molto più facile da capire rispetto a una password debole (ad esempio, qualsiasi cosa non sia nella lista dei primi 20).

    
risposta data 17.05.2018 - 10:15
fonte
11

Usabilità per sicurezza, purtroppo

Le banche vogliono essere sicure, ma devono affrontare una clientela per la quale l'usabilità è obbligatoria .

Questa clientela non è fatta dai nostri colleghi. Comprende coloro che temono "il gub'mint", gli anziani che non capiscono il cambiamento e resistono, i disabili mentali che hanno impiegato anni per imparare questo sistema e non possono elaborare un altro schema, per non parlare dei membri dello staff / em> ad es qualcuno che agisce con procura per una proprietà o persona disabile. Qualunque sistema tu crei deve essere accessibile a tutte quelle persone, a meno che tu non voglia avere livelli di accesso. Siamo bloccati con il minimo comune denominatore o il convoglio alla velocità della nave più lenta.

Risparmio di denaro: spostamento della responsabilità

Il sistema bancario è costruito su fiducia molto più di quanto chiunque vorrebbe ammettere. La frode è contenuta da uno staff di sicurezza molto attivo, che non deve correre più veloce dell'orso . Se la sicurezza della banca è appena abbastanza buona da consentire agli aggressori di passare a un modo più semplice di guadagnare denaro, la banca vince. Quel criminale che avrebbe attaccato la banca, invece, minaccia di essere un agente dell'IRS e ottiene un pensionato per salvare volontariamente Western Union i risparmi di una vita. Quel pensionato non può tornare in banca e chiedere indietro i soldi, quindi la banca è in chiaro.

Questo tipo di "spostamento di responsabilità" è una parte enorme della strategia bancaria. Qualsiasi cosa facciano trasferirà la responsabilità lontano dalla banca. Hanno disincentivo installare un sistema più strong che, in mancanza, crea più responsabilità per la banca.

    
risposta data 20.05.2018 - 23:03
fonte
3

"Le domande sulla sicurezza" in generale sono un'idea incredibilmente stupida.

Ogni volta che crei una password, è un consiglio di routine dire che non dovresti usare le informazioni personali per una password, come dove sei andato a scuola o il tuo colore preferito o la macchina che guidi, perché un hacker tenta di interrompere nel tuo account potrebbe essere in grado di scoprire o indovinare queste cose. Invece, dovresti usare una stringa senza senso di lettere e cifre, che dovrebbe essere impossibile da indovinare per chiunque.

Ma ... capiamo che stringhe senza senso di lettere e cifre sono difficili da ricordare. Quindi creiamo domande sulla sicurezza, che funzionano in modo efficace come password alternative, e per queste utilizzeremo qualcosa di facile da ricordare, come dove sei andato a scuola o il tuo colore preferito o la macchina che guidi. Perché, mentre un hacker potrebbe tentare di indovinare questo tipo di informazioni personali per una password, non si verrebbe mai in un milione di anni a un hacker per tentare di indovinare la risposta a una domanda di sicurezza.

Almeno se hai usato alcune informazioni personali per una password, l'hacker non saprebbe se hai usato la tua scuola superiore o il tuo colore preferito o una macchina. Ma con le domande di sicurezza, gli diciamo qual è.

Se qualcuno ti conosce, molte domande di sicurezza sarebbero facili da trovare o indovinare. Forse ti sei trasferito qui da un'altra città, ma c'è una buona possibilità che sei cresciuto dove vivi ora, quindi indovinare le scuole superiori nella zona avrebbe una buona possibilità di ottenere un successo. Potrebbe sapere che modello di auto guidi. In caso contrario, non ci sono molte macchine diverse. Se chiedi alle persone il loro colore preferito, la maggior parte delle persone nominerà una dozzina circa. (Beh, la maggior parte degli uomini, comunque. Le donne tendono a conoscere i nomi di molti più colori degli uomini.)

Un sistema che ho appena creato un account ha limitato recentemente le loro domande di sicurezza a cose con un numero abbastanza limitato di possibilità, e quindi ha fornito dei menu a discesa per ognuno di essi! Quindi dì all'hacker, ecco le 20 possibili password a cui qualcuno poteva scegliere! Ho visto sistemi che mi fanno scegliere una password di almeno 8 caratteri, perché se ho appena digitato in 6 o 7, questo è solo un paio di miliardi di possibilità, e un hacker potrebbe ottenerlo con un attacco di forza bruta. Ma poi abbiamo una password alternativa dove elenchiamo utilmente le 20 scelte. Ciò impedisce all'hacker di doversi preoccupare di essere inciampato in base a lettere maiuscole o errori di ortografia.

    
risposta data 22.05.2018 - 00:08
fonte
3

La risposta è la stessa: perché nella vita reale ci sono semplici blocchi, che è così facile da bloccare o spezzare.

È sempre bene consentire all'utente di selezionare il suo livello di sicurezza.

Scommetto che la password per lanciare le bombe nucleari non può essere recuperata dal nome da nubile della madre. Ma l'utente tipico ha 2-3, forse 10 account veramente importanti. E centinaia di altri account. Per esempio. account nel negozio online elettronico. Non mi interessa davvero se qualcuno lo hackerà e saprà cosa ho comprato nel 2011. Non mi interessa l'account su un forum fai-da-te dove una volta ho chiesto un paio di consigli.

Per molti di questi account le persone hanno bisogno di "semplici serrature". Password semplici (come '123456'), nessun obbligo di cambiarlo spesso, e un modo semplice per recuperarlo. Usabilità per sicurezza. E questo non è "tristemente", ecco come deve essere, se l'utente vuole l'usabilità più della sicurezza.

    
risposta data 22.05.2018 - 01:38
fonte
2

Lo scopo della domanda di sicurezza è la validità a lungo termine. Devi ricordarlo quando hai dimenticato / perso la password. Ecco perché un'informazione inerente che non puoi facilmente perdere si adatta bene. Ciò significa che la prima ipotesi della domanda non è adatta.

Per quanto riguarda la seconda parte che potrebbe ottenere o già essere di dominio pubblico: a) Tali domande di sicurezza sono tipicamente (se fatte correttamente) un'opzione, non necessariamente ne hai bisogno - e puoi scegliere una delle tante. Spetta all'utente decidere in che modo è noto pubblicamente che ciascuno è nel suo contesto (in particolare, se un utente malintenzionato conosce probabilmente il suo nome normale nella fase in cui è necessario rispondere alla domanda di sicurezza).
b) correttamente implementata, la domanda di sicurezza dovrebbe essere solo una parte in un'autenticazione multipla, perché sono sempre più facili da infrangere di una password, un'altra potrebbe essere l'accesso all'indirizzo di posta elettronica con cui è stato registrato un account.

Quindi, sullo spettro dalla convenienza per garantire che la prima domanda possa essere più conveniente per gli utenti, non è necessariamente sempre una cattiva scelta. Il mio film preferito, il nome del mio animale domestico ecc. Non sono tutti i segreti più forti.

Per quanto riguarda b) Paypal utilizza questo approccio per utilizzare un approccio di autenticazione multidirezionale quando si tenta di reimpostare la password. Nel loro processo è necessario fornire risposte a più domande di sicurezza di questo tipo. Inoltre è necessario avere accesso al tuo indirizzo email. In alternativa puoi scegliere di ricevere una chiamata a un numero di telefono registrato e utilizzare il codice che ottieni come secondo metodo di autenticazione. Fa parte di un mix di misure: l'obiettivo è fornire un compromesso di praticità e sicurezza.

    
risposta data 17.05.2018 - 16:52
fonte

Leggi altre domande sui tag