Facciamo un esempio del perché le domande di sicurezza sono un cattivo sistema:
Hai dimenticato la password e vai a una pagina per reimpostare la password rispondendo alle domande. Sappiamo tutti che queste domande sono orribili e facili da indovinare o da scoprire. Quindi consiglio consigliato è di scegliere una risposta e modificare alcune lettere in numeri e simboli per evitare che possa essere facilmente indovinato da persone o macchine. Ora hai dimenticato quali sono stati i cambiamenti che hai fatto! Quindi, peggio ancora se la risposta fosse breve, è facilmente forzata brutale con sufficiente potenza di calcolo. Facciamo un altro confronto:
Le somiglianze non si fermano qui . Per mantenere sicure le informazioni di identificazione personale è necessario hash o crittografarlo (idealmente hash) nel database. In altre parole, le domande di sicurezza non sono altro che password extra da ricordare. OWASP consiglia anche contro di loro perché non riescono a tutti gli stessi identici test delle password. Sono difficili da ricordare se non indovinare e, peggio ancora, danneggiare attivamente l'usabilità. Tuttavia a un utente malintenzionato a questo punto è solo leggermente più praticabile per loro forzare la password sull'account direttamente piuttosto che cercare di capire o forzare le domande di sicurezza e anche hackerare l'account di posta elettronica. Non hai guadagnato ulteriore sicurezza perché questo fa male agli utenti se dimenticano queste password domande di sicurezza e significa che non possono mai resettare la loro password.
Solo l'utilizzo di un link per la reimpostazione della password dovrebbe essere sufficiente dei due metodi perché utilizza anche le funzionalità di sicurezza dell'account e-mail, tra cui la limitazione della velocità e, auspicabilmente, l'autenticazione mfa. Quindi davvero non usare domande di reimpostazione della password. Ancora meglio se l'e-mail utilizza TLS viene inviata con enciclopedia.
link