Perché OWASP consiglia le domande di sicurezza?

10

Stavo leggendo il OwasP dimenticato la scheda Cheat Password quando mi sono imbattuto nel consiglio di utilizzare domande di sicurezza.

Esiste anche una pagina dedicata su quali informazioni raccogliere .

Ogni volta che vedo una "caratteristica" su un sito web mi sembra incredibilmente insicuro per la maggior parte degli utenti, perché la maggior parte degli utenti sceglierà una domanda una risposta che è probabilmente molto facile da scoprire da chiunque conosca la persona un po ' . Quindi sono stato molto sorpreso di vedere una tale raccomandazione su OWASP.

È davvero una buona idea implementare domande di sicurezza?

    
posta theDmi 18.11.2015 - 08:10
fonte

1 risposta

8

In particolare per quanto riguarda le domande di sicurezza, chiedi agli utenti di condividere fatti potenzialmente sensibili su di loro che sono probabilmente ottenibili dall'ingegneria sociale delle persone vicine. Questo rende le domande di sicurezza nel migliore dei casi sconsigliabili e nel peggiore addirittura pericolose da un punto di vista holisico della sicurezza.

OWASP, sebbene nel complesso buono per spiegare i problemi, formula molte raccomandazioni sconsigliabili tra cui domande di sicurezza, whitelist degli input e attenuazioni XXE che impediscono il caricamento della maggior parte dei documenti XML. Prendi le descrizioni dei problemi così come sono, ma esamina veramente le loro soluzioni prima di prendere in considerazione l'implementazione.

    
risposta data 18.11.2015 - 13:55
fonte