In che modo le "domande di sicurezza" non rappresentano un grosso problema di sicurezza per nessuna applicazione che le utilizza?

2

Quindi il modello di sicurezza originale doveva chiedere all'utente un indirizzo e-mail, al momento della creazione dell'account, e se dimenticavano la propria password il sistema inviava via email una nuova password a questo indirizzo email.

L'idea ora, tuttavia, sembra essere quella di utilizzare di più le domande sulla sicurezza. Quindi, se dimentico la mia password, il sito mi chiede "Qual è il nome del tuo animale domestico?", Digito "chuck" e poi il sito Web mi suggerisce di fornire una nuova password e mi consente di entrare.

Il modello delle domande di sicurezza mi sembra molto meno sicuro, in quanto un attacco di dizionario potrebbe essere più efficace contro di esso.

Perché stiamo "bene" con le domande di sicurezza, poiché questo sembra ignorare il nostro requisito per le password sicure?

    
posta user7560542 28.09.2018 - 17:28
fonte

3 risposte

1

La reimpostazione della password e-mail non è particolarmente sicura, poiché significa che se riesci a compromettere l'account e-mail di qualcuno, puoi prendere in consegna tutti dei loro altri account online. Almeno con domande di sicurezza ben scelte (che non includano il nome di un animale domestico) è improbabile che vengano utilizzate dall'utente su un altro sito Web, in modo che un compromesso sia limitato a quell'unico account. La verità è che la sicurezza è un compromesso con la praticità, e non c'è modo di autenticare gli utenti che sia ragionevolmente sicuro e ragionevolmente conveniente, quindi devi decidere quale è più importante.

    
risposta data 28.09.2018 - 17:37
fonte
0

Entrambi i metodi hanno pro e contro in termini di sicurezza e probabilità di violazione.

Il modo migliore potrebbe essere quello di usarlo in combinazione, quando resetterai la password ti verrà chiesta una domanda di sicurezza e un indirizzo email.

    
risposta data 29.09.2018 - 04:03
fonte
0

Entrambi questi modelli hanno difetti, l'e-mail è sicuramente il più.

Si parla di inviare all'utente una nuova password via e-mail, l'e-mail è in chiaro e non crittografata, quindi può essere annusata sulle reti e cosa impedisce a qualcuno di dirottare l'account e-mail dell'utente? Come stai generando quella password sicura per inviarli? Spero che sia un CSPRNG.

Stai forzando l'utente a cambiare la password dopo aver effettuato l'accesso? Altrimenti, questo è un altro ... Praticamente userete la posta elettronica come falsa memoria "sicura". Il futuro compromesso via e-mail significa che anche il loro account è stato compromesso.

Le domande sulla sicurezza, d'altra parte, variano, ci sono alcune domande davvero brutte che non dovrebbero mai essere poste, ma ce ne sono anche alcune che sono "abbastanza" solide. Per non parlare - queste forme dovrebbero essere limitate per limitare la forza bruta che hai citato.

vale a dire. "Qual è il nome del tuo animale domestico?" vs "Qual è il cognome dell'insegnante che ti ha assegnato il tuo primo voto negativo?"

Vedi: link

    
risposta data 29.09.2018 - 19:20
fonte

Leggi altre domande sui tag