Quale è più sicuro per una funzionalità di reimpostazione della password - domande di sicurezza o ripristino del collegamento nell'e-mail? [duplicare]

Sono d'accordo con il tuo team di sicurezza. La "domanda di sicurezza" non è sicura da sola: le città possono essere trovate su ip, i nomi possono essere cercati su google e i nickname degli animali domestici possono essere indovinati.

Tuttavia, è possibile combinare entrambi i metodi: inviare prima la posta e quando l'utente fa clic sul collegamento, porre la domanda. In questo modo aggiungerei almeno un po 'più di sicurezza al procedere. Pensa anche a un blocco (ad esempio 12 ore) dopo tre tentativi non riusciti per garantire che la bruteforcing non sia possibile.

Sono d'accordo con il tuo team di sicurezza, questo tipo di domande è troppo facile da sollevare dai social media, dalla ricerca online o solo dalle congetture. Può essere fatto molto meglio di "come si chiama il tuo cane", ma è ancora antiquato.

A seconda delle tue esigenze, nella maggior parte delle situazioni ti consiglio una terza scelta. Numero di telefono richiesto per la registrazione e l'invio di SMS al telefono cellulare con un codice di verifica sulla modifica della password.

Purtroppo, alcuni utenti hanno la stessa password uguale / simile ovunque. E se questo tuo cliente avesse un attaccante che inizia a prendere il suo account di posta elettronica? Quindi scopri di avere un account sul tuo prodotto leggendo le sue e-mail. Poi acquisisci il suo account con la tua azienda, poi .. cambiando la password dato che ti mandi la password per cambiare link a lui / lei ..

Facciamo un esempio del perché le domande di sicurezza sono un cattivo sistema:

Hai dimenticato la password e vai a una pagina per reimpostare la password rispondendo alle domande. Sappiamo tutti che queste domande sono orribili e facili da indovinare o da scoprire. Quindi consiglio consigliato è di scegliere una risposta e modificare alcune lettere in numeri e simboli per evitare che possa essere facilmente indovinato da persone o macchine. Ora hai dimenticato quali sono stati i cambiamenti che hai fatto! Quindi, peggio ancora se la risposta fosse breve, è facilmente forzata brutale con sufficiente potenza di calcolo. Facciamo un altro confronto:

• Password: Invia un carico utile a un server per confrontarlo con un hash

• Domande di sicurezza: Invia un carico utile a un server per confrontarlo con un hash.

Le somiglianze non si fermano qui . Per mantenere sicure le informazioni di identificazione personale è necessario hash o crittografarlo (idealmente hash) nel database. In altre parole, le domande di sicurezza non sono altro che password extra da ricordare. OWASP consiglia anche contro di loro perché non riescono a tutti gli stessi identici test delle password. Sono difficili da ricordare se non indovinare e, peggio ancora, danneggiare attivamente l'usabilità. Tuttavia a un utente malintenzionato a questo punto è solo leggermente più praticabile per loro forzare la password sull'account direttamente piuttosto che cercare di capire o forzare le domande di sicurezza e anche hackerare l'account di posta elettronica. Non hai guadagnato ulteriore sicurezza perché questo fa male agli utenti se dimenticano queste password domande di sicurezza e significa che non possono mai resettare la loro password.

Solo l'utilizzo di un link per la reimpostazione della password dovrebbe essere sufficiente dei due metodi perché utilizza anche le funzionalità di sicurezza dell'account e-mail, tra cui la limitazione della velocità e, auspicabilmente, l'autenticazione mfa. Quindi davvero non usare domande di reimpostazione della password. Ancora meglio se l'e-mail utilizza TLS viene inviata con enciclopedia.

link