Qual è lo scopo di costringere le persone a fornire "domande di sicurezza" e le risposte a loro?

8

Sto reinstallando Windows 10.

Dang. Mi costringe a fornire non meno di TRE domande di sicurezza. Devo sceglierli tra domande come, quale era il nome del tuo primo animale domestico e in che città sei nato.

OK Windows potrebbe fare questo per convincermi ad usare un account online. Ma non è solo Windows. Ci sono molti più esempi. L'ultimo esempio non Windows è stato il gioco Realm of the Mad God. E un altro, forse l'esempio più bizzarro: account di gestione per il mio ISP (questo include la visualizzazione delle fatture).

Non riesco a vedere lo scopo di tali domande. Chiedono di fornire informazioni che siano, in caso di molte persone, facilmente ricercabili. (Mi piace illudermi pensando che non è nel mio caso, ma non scommetterei un centesimo in questo). Anche se non lo è, le risposte a tali domande sono facilmente forzate (come era il cognome di tua madre? Basta controllare tutti i nomi di famiglia più popolari).

Sono un laico in termini di sicurezza. Quindi potrei sbagliarmi. Ma per il mio piccolo cervello, fornire risposte a queste domande (e quindi: chiedere agli utenti di fornire tali risposte) indebolisce notevolmente la sicurezza invece di rafforzarla!

E arrivano i problemi degli utenti che dimenticano la formulazione della loro risposta originale ... Titolo del tuo pezzo musicale preferito? Molti titoli possono essere dichiarati in molti modi. O dimenticando la risposta vera ... Il nome del tuo giocattolo d'infanzia preferito? Ne avevo uno? O anche, il brano musicale preferito di cui sopra? Questo può cambiare.

Questa pratica migliora la sicurezza in qualsiasi modo? Se no, allora perché tanti siti web, così tanti prodotti, così tante aziende costringono i loro utenti a fornire risposte a queste domande?

    
posta gaazkam 11.05.2018 - 20:28
fonte

2 risposte

1

Sei sostanzialmente corretto, in realtà non "aumenta la sicurezza". Sono lì per (nominalmente) aumentare la convenienza dell'utente nel caso in cui sia necessario un reset della password, a un costo a sicurezza complessiva.

Se si dimentica la password, molti meccanismi di reimpostazione della password richiedono di rispondere a queste domande come una forma secondaria di dimostrare che sei tu. si tratta di una sospensione rispetto ai giorni precedenti la maggior parte di queste informazioni era facilmente disponibile e ritenuta essere relativamente segreta.

Se sei costretto ad usare un sistema del genere, e sei preoccupato per la sicurezza, puoi inserire rifiuti casuali anche se non lo sai, e assumerti la responsabilità che non sarai mai in grado di usare la loro funzione di reimpostazione della password, ma neanche un cattivo ragazzo. In alternativa, inserisci un'altra password o un token che ricorderai, ma non la risposta alla domanda.

Non utilizzare nulla di sensibile per questi campi, dato che si può presumere che, a differenza delle password, non verranno sottoposti a hash e potrebbero essere visibili ai rappresentanti del servizio clienti che tentano di verificare al telefono.

Per indicazioni sulle migliori pratiche, il NIST ha dichiarato che le domande di sicurezza non dovrebbero chiedere agli utenti informazioni specifiche quali "Qual è il nome del tuo animale domestico" nella pubblicazione SP-800-63B della Guida di autenticazione digitale (sezione 5.1.1.2).

link

    
risposta data 11.05.2018 - 23:07
fonte
-3

Il punto delle domande è che le persone spesso scelgono password povere che sono facilmente ipotizzabili e forniscono un'altra "password" per mitigare ciò. Un metodo migliore come inviare un messaggio di testo a un numero di telefono non è sempre possibile, e significa che le persone devono avere il loro telefono con sé per accedere.

Come hai notato, questo non è sempre fatto molto bene, e le risposte a volte possono essere ricercate, avere un numero molto piccolo di risposte possibili (come quello che è il tuo colore preferito), o cambiamenti (come si chiama il tuo figlio più giovane).

Does this practice improve security in any way? If not, then why do so many websites, so many products, so many companies force their users to provide answers for these questions?

Se è fatto bene, può fornire un ulteriore livello di sicurezza. Se fatto male, fornisce poco o nessun vantaggio aggiuntivo.

    
risposta data 11.05.2018 - 20:43
fonte

Leggi altre domande sui tag