Perché le app Web non utilizzano domande di sicurezza personalizzate?

Naviga le tue risposte
3

Dalla mia lettura, le domande di sicurezza sui siti web sembrano avere una reputazione nel settore per essere obsolete e insicure, le informazioni di base di cui hanno bisogno sono facilmente disponibili per chiunque possa Google, a differenza degli anni '80 quando furono sviluppati per la prima volta per il settore bancario.

Tuttavia, mi viene in mente che una parte enorme di questo deve essere dovuta al fatto che la maggior parte delle domande di sicurezza sono inscatolate e riutilizzate praticamente su tutti i siti che le usano, riducendo così enormemente l'elenco di potenziali risposte. Sicuramente, dare agli utenti la possibilità di creare le proprie domande di sicurezza personalizzate con risposte personalizzate risolverebbe questo problema? So che sarei molto più propenso a ricordare una risposta a una domanda di base che ho ideato io stesso, e un hacker è meno probabile che sia in grado di scoprire quale sia la mia macchina preferita rispetto al nome da nubile di mia madre. Quindi, perché questa pratica comune nel settore non è questa e perché le app web insistono nell'usare le stesse domande?

    
posta Hashim 17.10.2016 - 00:37
fonte

4 risposte

3

Il problema principale delle domande di sicurezza è la facilità con cui puoi ottenere le risposte, indipendentemente dalla domanda reale.

Hai sollevato 2 esempi che mi sembrano altrettanto cattivi:

  • Auto preferita : può essere estremamente semplice da ottenere. Che cosa succede se si conosce il nome utente della persona che utilizza anche su un forum di auto che risulta mostrare la sua auto preferita?
  • Nome da nubile della madre : siamo in un'epoca in cui le persone condividono senza pensieri informazioni personali attraverso i social media. A seconda del sistema, potrebbe essere molto facile capire il nome della persona e una rapida ricerca sulla loro pagina Facebook potrebbe rivelare queste informazioni.

Inoltre, questi sono molto vulnerabili agli attacchi di social engineering. Prendiamo ad esempio un gioco multiplayer online. Un utente potrebbe farti casualmente delle domande e quindi senza accorgertene, potresti rispondere alle domande che consentirebbero all'utente di recuperare il tuo account.

Infine, lasciare che l'utente decida la domanda è un'enorme responsabilità di cui probabilmente non è a conoscenza. Non puoi aspettarti che l'utente inserisca una domanda a cui nessuno potrà mai sapere la risposta di quando password come Password1 possono ancora essere viste allo stato selvatico.

Per concludere

Per questi motivi, è difficile giustificare l'uso di domande di sicurezza e suggerirebbe invece di implementare il recupero della posta elettronica, che richiede che l'utente malintenzionato controlli il proprio indirizzo email o esegua correttamente il phishing per recuperare la password.

    
risposta data 17.10.2016 - 01:22
fonte
1

Perché gli utenti non possono definire le proprie domande?

Le domande di sicurezza personalizzate sono un problema perché gli utenti non sono bravi a scegliere le domande.

Ad esempio

  • Domanda: chi è il tuo Beatle preferito?
  • Risposte: John, Paul, Ringo o l'altro ragazzo
  • Problema: varietà insufficiente (ci sono solo quattro possibili risposte)

o

  • Domanda: dove sei nato?
  • Risposte: Boston MA, Boston Massachusetts, Boston Massachussets, Boston General Hospital
  • Problema: il sistema non può corrispondere in modo deterministico alla risposta memorizzata con la risposta fornita

o

  • Domanda: qual è la tua data di nascita?
  • Risposta: abbastanza semplice
  • Problema: la risposta può essere archiviata in chiaro (per supportare l'autenticazione del telefono con un CSR) che non sarebbe in PCI-DSS conformità.

Perché tolleriamo le domande sulla sicurezza, che ovviamente non sono un'ottima soluzione?

L'MFA è stato introdotto tramite guida FDIC rivista nel 2005 . Le banche erano sottoposte a molte pressioni normative per mettere in atto sistemi MFA da parte di EOY 2006. La cosa più economica e semplice da fare era introdurre domande e risposte sulla sicurezza, ma non sono ideali. In questi giorni, le nuove implementazioni di servizi bancari online useranno fuori banda OTP invece, ad esempio un codice che viene inviato al tuo cellulare.

Se la mia banca utilizza ancora domande di sicurezza, sono a rischio?

Tutto questo non significa necessariamente che un sito bancario che utilizza domande di sicurezza ti sta mettendo a rischio. Le transazioni pericolose, come i trasferimenti esterni, sono generalmente protette da altre cose, come un motore di rilevamento delle frodi basato su regole, il controllo del back office e le disposizioni di clawback.

Indipendentemente da ciò, il rischio di perdita monetaria è in banca, non su di te.

    
risposta data 17.10.2016 - 22:05
fonte
1

La tua domanda presuppone che esista una buona domanda di sicurezza. Direi che non esiste una cosa del genere. Questo è sempre stato vero, ma il mondo connesso e i social network di oggi lo rendono evidente.

Una buona domanda di sicurezza richiederebbe una risposta che non sia facilmente nota o individuabile, non soggettiva, statica, che abbia una risposta singola chiara e applicabile. Le ragioni di tali requisiti dovrebbero essere abbastanza ovvi ma una domanda di sicurezza non è buona se non è un segreto o dipende dal tuo umore quel giorno o cambia nel tempo, ha più risposte possibili o semplicemente non si applica a qualcuno.

Questo elimina praticamente tutto ciò che riguarda la tua famiglia (nome da nubile della madre, compleanno, ecc.) in quanto è facilmente individuabile anche se non lo pubblichi sui social network. Elimina anche il tuo XYZ preferito in quanto i preferiti sono soggettivi e cambiano nel tempo. Puoi anche eliminare il colore della tua prima auto in quanto potrebbe essere informazioni prontamente disponibili, non si applica a molte persone o addirittura non ha una risposta singola chiara. L'auto è grigia o argento artico o argento metallizzato grigio? Praticamente tutto quello che riesci a ottenere fallirà uno o più di questi test anche se stai provando a venire da te per le domande.

Anche se lasci che le persone scelgano le proprie domande e ne escano di ragionevoli, le probabilità sono che comincino a riutilizzarle su più siti e la prima violazione che si è verificata li avrebbe inseriti in testo chiaro nel database e non sarebbero più delle buone domande di sicurezza.

    
risposta data 18.10.2016 - 00:49
fonte
-2

Le domande possono essere generiche, ma le risposte non devono essere necessariamente. Se utilizzi un'applicazione di gestione password e segui rigorosamente un solido processo di gestione delle password, potresti utilizzare risposte generate casualmente.

Per una domanda come "qual è stata la marca della tua prima auto?" invece di mettere "Ford", dovresti inserire qualcosa come "hIUYkjh7657".

Nessuna quantità di reti a strascico dei social media otterrà un potenziale hacker da nessuna parte vicino alla risposta.

    
risposta data 17.10.2016 - 05:34
fonte

Leggi altre domande sui tag

Va bene se un server non verifica un certificato? È necessario un ID sessione per eseguire un'escalation di privilegi. Il modulo MSF funziona