Perché un sito web consente di utilizzare le risposte alle domande di sicurezza in modo intercambiabile?

Naviga le tue risposte
8

Avevo bisogno di reimpostare la mia password su un sito web che utilizza domande di sicurezza per lo scopo, e ho notato qualcosa di strano. Le mie ipotetiche domande di sicurezza sono (non quelle che effettivamente utilizzo):

  1. Come ti chiami? John
  2. Dove vivi? Chicago

Per resettare, mi viene richiesto di rispondere a entrambe le domande; tuttavia, non importa quale risposta uso per quale domanda, a condizione che la risposta che uso sia corretta per almeno una domanda. Tutte queste combinazioni funzionano:

John/Chicago, Chicago/John, John/John, Chicago/Chicago

Se uno dei due campi è una risposta errata a entrambe le domande, la pagina restituisce un errore, quindi

John/-incorrect-, -incorrect-/John, Chicago/-incorrect-, -incorrect-/Chicago

tutto fallito.

Questo deve essere un bug, giusto? Sembra una "caratteristica di convenienza" quasi deliberata che riduce drasticamente l'efficacia già limitata delle domande di sicurezza.

    
posta John Bensin 02.05.2013 - 21:20
fonte

3 risposte

9

In breve, qualcuno ha posizionato in modo errato un OR dove dovrebbe essere AND . Effettivamente un grosso contrattempo da parte dello sviluppatore. Le tue ipotesi sulla sua sicurezza sono corrette.

    
risposta data 02.05.2013 - 22:02
fonte
6

Sì, quello che descrivi sembra un insetto. A prescindere dal presunto valore di sicurezza delle "domande di sicurezza" o dalla loro mancanza, non è possibile che "John" possa essere considerato una risposta valida a "Dove vivi". È anche più di un bug: è una vulnerabilità (un problema ancora più grande del semplice utilizzo di "domande di sicurezza" in primo luogo). Infatti, nel tuo esempio, qualcuno ha presentato 5 domande, una che è "come ti chiami", può rispondere "John" a tutti e cinque e avere accesso, quindi un utente malintenzionato non deve neanche indovinare le risposte a tutte le domande, solo a uno di loro.

Non penso che sia una caratteristica di convenienza intenzionale; ci vorrebbe una mente veramente deformata per venire con quel progetto. Un bug reale sembra più plausibile.

    
risposta data 02.05.2013 - 21:53
fonte
5

Le domande di sicurezza sono pessime, le domande di sicurezza che chiedono il tuo nome e il luogo in cui vivi sono anche peggio. Il fatto che tu possa utilizzare una delle due risposte per una domanda non è un bug, è una cattiva codifica.

Le password ripristinate usando le domande di sicurezza sono sbagliate se non vengono utilizzate in combinazione con qualcos'altro. Per esempio, se ti fanno domande, ma cose che puoi solo sapere (non riesco a trovare buone domande al momento, ma probabilmente qualcosa durante l'anno del tuo primo amore) e dopo aver risposto a queste domande un tempo limitato token (link) viene generato e inviato al tuo indirizzo email che rimane valido per 15 minuti. Dopo aver fatto clic su quel collegamento, un SMS viene inviato al tuo telefono con un codice e devi inserire il codice sulla pagina. Se il codice è corretto, puoi modificare la tua password.

    
risposta data 02.05.2013 - 21:30
fonte

Leggi altre domande sui tag

Password complessa contro restrizione sul numero di tentativi Come faccio a sapere se la mia azienda o il mio ISP utilizza un proxy TLS?