Per prima cosa, le domande sulla legalità devono essere indirizzate al link . Per quanto riguarda il resto, analizziamolo sulla sicurezza segreta e sulla sicurezza dell'ID:
Domande segrete
L'uso di domande segrete per il recupero dell'account è stato per un po 'un passo di sicurezza "deprecato". Il mio esempio è il motivo per cui questa è una cattiva idea è l'hacking dell'account di posta elettronica di Sarah Palin durante le elezioni presidenziali degli Stati Uniti del 2008. La persona che ha effettuato l'accesso alla sua email lo ha fatto utilizzando la funzionalità di reimpostazione della password di yahoo, che è stato in grado di fare perché ha utilizzato domande segrete e tutte le sue domande / risposte erano basate su informazioni pubblicamente disponibili sulla sua vita.
Come suggerimento generale, ogni volta che incontro un sito che utilizza domande di sicurezza, in realtà non rispondo a nessuna delle domande poste. Invece io generare una stringa casuale lunga (che memorizzo in un gestore di password o cosa no) e la uso per la risposta. Poiché le domande di sicurezza si basano su informazioni personali, rappresentano un fattore di rischio principalmente per attacchi mirati (aka Sarah Palin). Di conseguenza, l'utilizzo di una stringa casuale come risposta a una domanda di sicurezza significa che anche se qualcuno conosce il secondo nome dell'insegnante di secondo grado, l'ancora non sarà in grado di penetrare nel tuo conto bancario (perché in realtà non hai risposto la domanda che hanno chiesto). Quindi qualunque cosa tu faccia, se un sito usa le domande di sicurezza, trattalo come una password e fornisci una lunga stringa casuale. Inoltre, tieni presente che chiunque crei il sito non sta effettivamente facendo bene la sicurezza.
Sulla domanda effettiva però: "È sicuro?". Safe è un termine privo di significato nel mondo della sicurezza. Niente è sicuro. È sempre e solo "abbastanza sicuro per i miei scopi". Da quella prospettiva probabilmente non mi preoccuperei too molto se stessero memorizzando le risposte in testo normale. La risposta a un paio di domande di sicurezza probabilmente non aiuterà molto un aggressore perché pochi siti in questi giorni li usano ancora e le domande variano da un sito all'altro. Di conseguenza, anche se qualcuno trova una risposta a una tua domanda di sicurezza su un sito che usi, non può semplicemente andare in giro ad accedere ad altri tuoi account come possono se avessero trovato la password che hai usato ovunque. Tuttavia, ora potrebbe essere il momento di trovare tutti i tuoi account su sistemi che hanno domande di sicurezza e sostituirli con termini privi di significato anziché reali (o semplicemente eliminare il tuo account poiché queste persone non sanno cosa stanno facendo).
Identificazione emailing
Penso che tu sappia più o meno la risposta a questa persona, ma solo per dirla ad alta voce: mandare email su PI sensibili (informazioni personali) su un canale non sicuro è decisamente una cattiva idea. In questo caso, tuttavia, ha il vantaggio di farti sapere che hanno pratiche di sicurezza scadenti. Una volta ho utilizzato un sistema che mi ha richiesto di scattare una foto del mio ID utilizzando la webcam del mio computer tramite una connessione HTTPS sicura. Suona bene ovviamente (o almeno, questo è il minimo richiesto per farlo bene). Per quanto ne so, hanno memorizzato le immagini del mio id in un bucket AWS S3 pubblico che verrà in seguito individuato dagli hacker e successivamente inserito nelle notizie ( e succede ogni altro giorno ).
Capisco che non è una gran consolazione, ma dato che è abbastanza ovvio che avere le tue informazioni personali inviate attraverso canali non criptati è una pessima idea, immagino che potrei anche provare a trovare delle buone notizie. Almeno ora sai che la loro sicurezza è terribile, e puoi prendere misure di conseguenza - generare e utilizzare una password lunga e unica per questo sito, cambiare le risposte alle tue domande di sicurezza in modo che siano lunghe stringhe casuali, archiviare come poche informazioni nel loro sistema come puoi farla franca, e lamentarti ad alta voce di chiunque tu possa su quanto male stanno usando e memorizzare i tuoi dati. Se puoi anche confermare che stanno archiviando i tuoi dati illegalmente, allora hai una nuova serie di persone alle quali puoi lamentarti, quindi forse qualcosa può essere fatto anche su di esso (ma non terrei il fiato sospeso).