Cosa succede se l'utente non può rispondere alla domanda di sicurezza durante il reset della password?

2

Sto pensando alla logica di recupero della password per un sistema di e-commerce. Qualche backround: le password vengono archiviate usando bcrypt, il recupero della password implica il link di reset standard, che può essere utilizzato per reimpostare la password entro un periodo di tempo limitato.

Vorrei aggiungere un ulteriore passaggio prima di consentire ai clienti di reimpostare, ad esempio domanda di sicurezza . La mia domanda è qual è la migliore pratica, utilizzando gli standard di sicurezza odierni, per situazioni in cui il cliente non può rispondere alla domanda di sicurezza?

Il sistema richiede loro altre informazioni sicure legate al loro ultimo ordine, le ultime 4 cifre della loro carta di credito? (Se sì, cosa succede se il cliente non ha ancora effettuato un ordine?)

Nella mia situazione, avrei bisogno dell'intero processo per essere in grado di essere fatto online (vs per telefono - anche se sarei curioso di sapere quali sono i vantaggi dell'uso del telefono). Non vogliamo che i clienti non siano in grado di effettuare ordini se non riescono a contattare il servizio clienti.

    
posta Rivka 02.02.2014 - 19:20
fonte

5 risposte

2

Ciò dipenderà in qualche modo dalla quantità di sicurezza di cui hai bisogno.

Hai menzionato che sei un sito di e-commerce; memorizzi le carte di credito dei clienti per gli ordini in stile "one click"? In caso contrario, mi aspetto che l'impatto della violazione dell'account sia relativamente minore, quindi è probabile che tu possa fare a meno di un processo di ripristino della password rilassato. Ad esempio, è sufficiente inviare un link di ripristino all'indirizzo e-mail memorizzato, senza alcuna domanda di sicurezza.

Se autorizzi l'ordinamento "con un solo clic", potresti avere determinati controlli per limitare il rischio, come solo la spedizione all'indirizzo di fatturazione della carta, e un processo di ripristino della password rilassato potrebbe essere ancora appropriato.

Se hai veramente bisogno di una protezione elevata per gli account, devi disporre di una strong procedura di reimpostazione della password. Il più strong di tutti è avere l'iscrizione di persona in cui si acquisiscono dati biometrici e un processo di reimpostazione della password di persona in cui si verificano i dati biometrici. In pratica ciò viene fatto solo da alcuni governi di paesi sviluppati per il passaporto o i regimi nazionali di identità. E a quel punto, non ci faremo affidamento sulle password, giusto?

Un altro approccio è l'analisi transazionale basata sul rischio. Quindi, di norma puoi avere la politica che spedirai a qualsiasi indirizzo. Tuttavia, se l'account ha di recente (ad esempio, ultimi 7 giorni) una reimpostazione della password, quindi spedisci solo all'indirizzo di fatturazione.

    
risposta data 03.02.2014 - 21:45
fonte
6

Le domande di sicurezza sono solitamente stupide e inutili. Si basano su informazioni che di solito si ottengono facilmente attraverso una rapida ricerca su Internet degli account dei social media del target ed è not un buon modo per dimostrare l'identità.

Does the system prompt them for some other secure info tied to their last order, such last 4 digits of their credit card? (If yes, what if the customer hasn't placed an order yet?)

Anche le ultime 4 cifre di una carta di credito sono non sicure. Vedere un caso recente, ben noto di social engineering che sfrutta proprio questo.

Personalmente, mi piacerebbe solo licenziare una e-mail di reimpostazione della password all'account e-mail elencato e farla finita. Qualsiasi altro passo servirà generalmente a infastidire i tuoi clienti più che a proteggerti da qualsiasi minaccia reale.

    
risposta data 03.02.2014 - 04:32
fonte
2

Non potresti nascondere / cancellare tutte le informazioni segrete (personali, fatturazione, pagamento) quando l'utente reimposta la password?

Probabilmente non ci vorrà molto tempo per reinserirli. Puoi anche ripristinarli tutti quando riescono a reinserire le informazioni di pagamento valide corrispondenti a quelle precedenti.

Non fidarti mai di informazioni che possono essere progettate socialmente (compleanno, preferiti, qualsiasi cosa relativa ai membri della famiglia) o prontamente disponibili in un account email compromesso (numeri di ordini precedenti o contenuti, indirizzi, ecc.).

    
risposta data 22.03.2014 - 13:22
fonte
1

come dice Terry Chia, le domande sulla sicurezza sono, a mio parere, una perdita di tempo.

Se non si consente un numero massimo di tentativi senza un blocco dell'account, si rischia un attacco a forza bruta. Se abiliti il blocco di un account, rischi un attacco DoS contro l'account dell'utente.

In entrambi i casi, si ottengono problemi di enumerazione del nome utente.

Vorrei andare con l'invio di una e-mail all'indirizzo registrato contro l'account, con un 'Se hai inserito un nome utente valido, una e-mail di reimpostazione della password verrà inviata al nostro messaggio di posta elettronica registrato'.

    
risposta data 03.02.2014 - 20:39
fonte
0

Secondo me la domanda di sicurezza dovrebbe essere l'ultimo modo per ripristinare la password. Dopodiché, se qualcuno non riuscisse a passare che il prossimo passo sarebbe contattare l'assistenza clienti e dando informazioni sul suo conto dimostrando che è il suo (ID di transazione ex, attività recente ecc.) Il team lo rispedirebbe (via email preferibilmente) un reset link valido solo per un paio di giorni.

    
risposta data 02.02.2014 - 19:56
fonte