La presenza di più "informazioni memorabili" riduce la sicurezza?
Sì (Vedi avvertenze). Le domande di sicurezza non sono un ottimo metodo per la sicurezza. Ad oggi, il panorama della sicurezza è molto spostato dagli attacchi Send and Pray, alle tattiche mirate di Social Engineered e gli aggressori sono motivati a scavare nella vita personale delle persone per ottenere i tuoi beni.
Perchè?
In primo luogo, l'implementazione delle domande di sicurezza è spesso il metodo invocato per proteggere password / username dimenticati / persi. Non è né complicato né complicato ottenere risposte da qualcuno dato che i social media sono così diffusi e la nostra psicologia è tale che preferiremmo dare alle persone il beneficio del dubbio piuttosto che l'intento malevolo.
In secondo luogo, (come sviluppatore) molti sviluppatori non comprendono effettivamente il processo di sicurezza, i veri significati di autenticazione, autorizzazione e identità, né comprendono la differenza tra autenticazione a più fattori (MFA) e autenticazione a due fattori (2FA). Le domande di sicurezza provano a fornire l'MFA, ma in media i programmatori finiscono per fornire un meccanismo che consente agli hacker di bypassare l'intera cosa che richiede una password.
Avvertimenti
Dato che lavoro nel settore bancario e in IS, controcorrente secondo me, noterò che non è raro che le banche / aziende utilizzino una domanda di sicurezza per MFA su articoli come l'accesso da dispositivi o posizioni sconosciute e prevenire gli hi-jack di sessione accoppiandoli con immagini preselezionate. Il loro intento non è quello di reimpostare la password, ma il ragionamento MFA più vero se si conosce il proprio nome utente e si sa qualcosa di te (EG nome del tuo primo cane) rispetto alla persona che tenta di accedere da una località sconosciuta (sconosciuta alla banca) è un più possibilità di essere te e dovrebbe procedere. C'è più ragionamento dietro di esso, ma sì.