È una domanda di sicurezza che devi solo "ricordare" una buona idea?

Naviga le tue risposte
4

Stavo impostando le mie domande di sicurezza su eBay e una delle scelte era:

Orahovistositichetipermettonodi"scrivere la tua domanda" e "scrivi la tua risposta" ma a meno che non abbiano dimenticato un campo di testo, sembra una cattiva idea!

Non solo dovresti ricordare "la tua frase" anche tu dovresti ricordare la risposta.

Questo schema è una buona idea?

Modifica

Ho appena capito che potrebbe molto probabilmente significa digitare la frase come la risposta. Non so perché non me ne sono reso conto.

    
posta Insane 25.01.2016 - 10:14
fonte

1 risposta

2

Processo usuale

Ci sono due modi comuni per implementare la cosiddetta "domanda di sicurezza" (che non penso sia comunque molto sicura, ma questo è un altro argomento):

  • Proponi all'utente di scegliere una domanda da una serie di domande già definite,
  • Proponi all'utente di digitare la sua domanda.

Il problema con la prima possibilità è che avrai un rapporto molto ampio tra i tuoi utenti che riutilizzeranno la stessa domanda come il nome del loro primo animale domestico, per esempio. Questo può essere un punto debole dal momento che un utente malintenzionato può, con questo esempio, utilizzare un dizionario di nomi di animali comuni contro tutti gli utenti che hanno scelto questa domanda.

Con la seconda possibilità, incoraggi i tuoi utenti a utilizzare domande diverse. Anche se qui il rischio è che possano utilizzare una domanda ancora più debole, almeno ci sarà una gamma più ampia di domande diverse che renderà i tentativi di automazione un po 'più difficili per l'aggressore.

Tuttavia, in entrambi i casi la domanda rimane pubblica, solo la risposta è segreta. Quando fai clic sul link " Ho dimenticato la password ", in ognuna di queste situazioni ti verrà richiesta la tua domanda (o quella che hai scelto o quella che hai digitato) e dovrai fornire la risposta corretta per ottenere il tuo accesso.

Se si incontra un sito Web che richiede di digitare sia la domanda che la risposta durante la procedura di reimpostazione della password, allora si può scommettere che questo processo è stato progettato da qualcuno un po 'avvitato (e che questo processo verrà probabilmente cambiato rapidamente quando il reparto assistenza è stufo dei reclami degli utenti).

Caso specifico della schermata

L'obiettivo di qualsiasi sistema di autenticazione è quello di farti provare la tua identità in qualche modo. Il più veloce è usando una password segreta, o in altre parole un segreto condiviso tra te e il servizio a cui vorresti dimostrare la tua identità.

Se dimentichi questo segreto condiviso, viene la domanda / le domande sulla sicurezza: ti offriranno un modo alternativo per dimostrare la tua identità fornendo alcuni dettagli sulla tua vita personale che (si spera) solo tu puoi ora.

Avere una domanda che richiede di nuovo un segreto condiviso sembra semplicemente inutile, in quanto non fornisce alcun modo alternativo per dimostrare la tua identità: se hai perso il tuo principale segreto condiviso, molto probabilmente hai perso anche quest'altro .

Quindi classificherei definitivamente questo nella categoria "screwy".

    
risposta data 25.01.2016 - 11:40
fonte

Leggi altre domande sui tag

Come si usa una directory di file YARA? Come acquistare l'ancoraggio di root root DNSSEC da IANA?