Quanto è sicuro questo metodo per ricordare domande di sicurezza?

Di solito non mi piacciono le domande di sicurezza in generale; di solito chiedono informazioni più o meno pubbliche. Cognome della madre da nubile? Ancestry.com te lo dirà. La tua scuola superiore? Facebook, LinkedIn, una serie di siti di social media che utilizzano le informazioni per suggerire ai potenziali amici non solo l'avranno, ma lo pubblicizzeranno se non stai attento con le impostazioni del tuo profilo.

In questo caso, la tua fonte è d'accordo, e invece di fornire la risposta effettiva, sta semplicemente facendo di questo schema una password alternativa. Se le password che sta usando sono casuali, forti e uniche, dovrebbe essere tutto ciò che è necessario. Se sta usando una password comune, l'hash delle domande è la sicurezza attraverso l'oscurità; una volta che viene utilizzato un hash e il metodo per generarlo è noto a un utente malintenzionato, è rotto.

In ogni caso, non è una totale perdita di tempo, ma il semplice fatto che il modo in cui fai qualcosa è un segreto al di fuori del mondo digitale non può essere invocato per sicurezza al suo interno. Nel caso di questo tizio, non è un segreto che usa questo metodo, quindi non può più contare su di esso per proteggerlo ed è una perdita di tempo nel suo caso. La pratica di utilizzare una password alternativa come risposta a una domanda di sicurezza (non correlata alla reale risposta del mondo reale alla domanda) è relativamente sicura da sola, purché sia l'utente che il sito Web Presta la stessa cura per proteggere la riservatezza delle risposte di sicurezza come la password stessa.

Sono d'accordo con le altre risposte che le "domande sulla sicurezza" in realtà non fanno molto bene. La teoria dietro di loro è che solo tu conoscerai le risposte a queste domande e saranno utilizzate per farti tornare nel tuo account nel caso avessi dimenticato la tua password. Sfortunatamente, le risposte alla maggior parte delle domande di sicurezza possono essere trovate online se l'aggressore sa dove trovarle (ad esempio Facebook, LinkedIn, ecc.) O se sono realmente determinate, possono essere progettate socialmente da te o da persone che conosci.

Inoltre, ho trovato che le risposte alle domande di sicurezza non sono probabilmente memorizzate in un modo "sicuro", in quanto quando chiedi il supporto per l'account, il rappresentante potrebbe chiederti di verificare te stesso fornendo risposte alle tue domande. Non saprebbero la risposta a meno che non sia disponibile per loro in chiaro. Quindi non li considererei come risposte sicure.

Detto questo, direi che il metodo del tuo amico di ricordare le sue risposte fa più male che bene, dato che in effetti sta memorizzando la password sia in testo normale, sia in un formato crittografato reversibile, nessuna delle due fa bene alla sicurezza. Inoltre, chiunque può fare un hash della domanda, a patto che sappia quale algoritmo di hashing è stato usato, in modo tale da non aumentare la sicurezza del sistema.

Se un sito richiede di inviare risposte a domande di sicurezza, generalmente fornisco risposte senza senso che non possono essere correlate alla domanda.

Q: What city did you meet your spouse in?
A: Bananas

Quindi registro tutte le mie coppie di domande / risposte nel mio gestore di password, così posso dare la risposta corretta quando viene contestato. Lo faccio invece di usare stringhe casuali, a causa della summenzionata necessità di conversare occasionalmente con i rappresentanti di supporto (come in una banca che ti chiede di verificare la tua identità). Trovo che questo sia il modo migliore per soddisfare sia il loro bisogno di domande di sicurezza, ma anche di proteggere il mio account.

La domanda di sicurezza è in realtà un termine improprio in quanto non migliora realmente la sicurezza di un account, ma è più come avere una porta sul retro della casa. Non hai una chiave (password) per la porta d'ingresso, nessun problema, entra dal retro se conosci il numero per aprire la serratura a combinazione.

Detto questo, il metodo che hai proposto è come richiedere la stessa chiave per la porta posteriore. C'è un problema perché potresti esporre la tua password che non è hash, ma direttamente aggiunta alla fine della risposta di sicurezza. Un cracker che in qualche modo riesca ad accedere al database può ottenere la tua password in chiaro.

Inoltre, fare qualcosa del genere è abbastanza ridondante, poiché una volta dimenticata la password, si perde effettivamente il secondo accesso all'account rispondendo alla domanda di sicurezza. Se non vuoi una backdoor del tuo account, digita semplicemente una stringa casuale e non preoccuparti di salvarla o ricordarla:

Q: What is your mother's maiden name?

A: dsfjot4-5bl;f;js gge[rti[5iyj[hglk,l;dfqkportgijrb1

L'autenticazione tramite posta elettronica sarebbe un'opzione molto migliore per reimpostare una password persa per un account registrato utilizzando un indirizzo email.