La richiesta di domande di sicurezza sui nuovi computer aggiunge sicurezza sui siti Web bancari?

8

Quando accedi a Bank of America su un computer che non hai mai usato prima, il sito ti invita a rispondere a una delle tue domande di sicurezza.

In che modo questo rende il sito più sicuro?

L'ipotesi è che se una persona in qualche modo indovina la tua password, non potrebbero entrare sul loro computer perché non conoscono le tue domande di sicurezza? Se hanno la tua password, hanno già vinto. Sembra che tutto ciò faccia è più difficile per gli utenti legittimi utilizzare il sito ...

Aggiorna

Sulla base della risposta di @AJHenderson sembra che lo scenario da cui proviamo a proteggere l'utente sia un keylogger. Forse contiamo sul keylogger perché è stato inserito dopo l'utente ha già contrassegnato questo computer come "affidabile" inserendo la domanda di sicurezza? In quel caso particolare l'hacker non avrebbe catturato la risposta alla domanda di sicurezza dell'utente. Non sarebbe una soluzione migliore avere l'utente inserire un PIN tramite un tastierino a video che non sarebbe così facilmente registrato con la chiave?

    
posta John 06.05.2013 - 22:35
fonte

3 risposte

4

Lo scenario che questo è stato progettato per prevenire è keylogging. È abbastanza facile ottenere un keylogger che segnalerà ma in qualche modo più complesso per realizzare un programma che eseguirà un attacco in remoto su un altro computer. Poiché non si inseriscono regolarmente le risposte alle domande di sicurezza, se un utente malintenzionato ottiene la password tramite un keylogger, non sarà in grado di utilizzarlo sul proprio sistema senza conoscere la risposta.

Ha un'efficacia piuttosto limitata, anche se, come se l'attaccante potesse forzare il tuo sistema a non essere riconosciuto, potrebbe farti rispondere anche alle domande di sicurezza. Tuttavia è ancora un leggero aumento di difficoltà per un utente malintenzionato e non è un onere significativo o addirittura comune per un utente.

    
risposta data 06.05.2013 - 22:51
fonte
2

Gestione delle frodi . Il sito web della banca potrebbe utilizzare la geo-localizzazione e il fingerprinting del dispositivo. Da Wikipedia

Geo-location is the identification of the real-world geographic location of an object, such as a mobile phone or an Internet-connected computer terminal.

Device fingerprinting is information collected about a remote computing device for the purpose of identification

Immagina oggi che al mattino hai effettuato una transazione dagli Stati Uniti e due ore dopo è stato effettuato un tentativo di accedere al tuo account dalla Cina. Usando la geo-localizzazione il sistema saprà che qualcosa non va bene.

Se un nuovo computer viene utilizzato per accedere al tuo account, il sistema vuole assicurarsi che sia il vero proprietario dell'account e non un hacker con una password rubata.

Il sistema bancario può essere progettato per sviluppare un livello di fiducia per i computer che usi regolarmente per le tue transazioni finanziarie. Nel momento in cui la tua richiesta proviene da un nuovo dispositivo / posizione, il sistema ti fa una domanda di sicurezza.

P.S. Se la tua domanda di sicurezza è "qual è il nome del tuo cane?" o "Qual era il nome del tuo liceo?" l'attaccante potrebbe essere in grado di indovinarlo facilmente. Le domande di sicurezza non possono essere confrontate con l'autenticazione a due fattori.

    
risposta data 07.05.2013 - 08:36
fonte
1

La domanda è qual è il nome del tuo animale domestico preferito? Per rispondere correttamente, devo pensare oggi nello stesso stato d'animo del giorno in cui inizialmente ho risposto alla domanda. Quel giorno era primavera e stavo pensando al cavallo che possedevo. Guidare nella calda primavera è stato molto divertente. Comunque, oggi è inverno, e ricordo il mio vecchio collie che era solito giacere davanti al fuoco con me quando fuori faceva freddo. Non ricordo il cavallo. Quali sono le possibilità di correggere questa domanda, anche se sono io e nessun hacker? Non alto, a meno che non scriva la domanda sciocca con la mia risposta e la posta vicino al computer. È ancora più difficile con la domanda: dov'è nata tua madre? Era a San Gallo o San Gallo o San Gallo o in Svizzera o in Europa?

Per la cronaca: le domande di sicurezza rendono il tuo sistema MENO sicuro perché ti costringono a scrivere le domande e le risposte.

    
risposta data 21.11.2013 - 13:08
fonte

Leggi altre domande sui tag