Data una procedura di resettaggio dell'account, di solito ci sono alcune domande di recupero, e in implementazioni migliori verrà inviato un link per confermare la modifica della password via email o SMS. Pertanto, l'utente malintenzionato ha bisogno sia di informazioni sia di accesso per utilizzare il meccanismo di reimpostazione della password per un rilevamento dell'account.
Questi controlli sono spesso molto utili contro alcuni attaccanti casuali su Internet, ma voglio concentrarmi su quando un membro della famiglia è l'attaccante (ad esempio, il genitore che cerca di entrare nell'account del bambino, il ragazzo / ragazza che cerca di ottenere l'accesso al partner account, ecc.). In questo scenario, è molto probabile che la persona conosca la risposta a qualsiasi domanda di sfida personale (nome da nubile della madre, prima auto, insegnante di terzo grado) ed è probabile che abbia anche accesso fisico al telefono o al PC della vittima. Supponiamo anche che la vittima non sia una persona orientata alla sicurezza, quindi lascia la sua e-mail aperta in una scheda e non ha una password per lo screensaver e il loro telefono è protetto da un pin che è il loro compleanno.
In qualità di addetto alla sicurezza, rimango sempre senza senso per le risposte alle domande di sicurezza e memorizzo le risposte con la crittografia, ma dal momento che la vittima non vuole realmente gestire un gestore di password, non sa quale sia la crittografia, ecc. non possiamo fare affidamento sull'utente che prende contromisure per proteggere se stesso poiché la vittima può legittimamente aver bisogno di usare queste risposte per recuperare il suo account.
Sapendo che esiste un problema di sicurezza fisica e che le informazioni non sono ben note, quali contromisure o controlli possono implementare il fornitore di servizi per proteggere l'utente da un utente malintenzionato che è un familiare / amico con accesso fisico.
Le risposte dovrebbero essere dal lato del fornitore di servizi, poiché l'obiettivo è proteggere un utente non sofisticato.