La presenza di più "informazioni memorabili" riduce la sicurezza?

2

Uso un sito Web che oltre a richiedere un nome utente e una password richiede anche "informazioni memorabili".

Durante la registrazione ho fornito più informazioni memorabili come risposte a più domande (ad es. luogo memorabile, data ecc.)

All'accesso non mi viene richiesto un pezzo specifico di informazioni memorabili (come previsto) ma per qualsiasi di esse. Posso accedere con la stessa informazione ogni volta senza mai sapere quali sono le altre risposte.

Si tratta di un'implementazione scarsa o errata di avere informazioni memorabili?

    
posta notnull 05.04.2016 - 20:17
fonte

2 risposte

1

Sono d'accordo, sembra stupido.

Il consenso generale è che esistono tre tipi di meccanismi di autenticazione:

  1. Qualcosa che conosci (es. password).
  2. Qualcosa che hai (ad esempio l'app di generazione del codice, l'accesso a un account email, la possibilità di ricevere SMS, ecc.)
  3. Qualcosa che sei (ovvero impronta digitale o scansione dell'iride).

Non c'è davvero alcun motivo per chiedere più di una cosa per ogni categoria. I sistemi di autenticazione a 2 fattori ("2FA") appropriati sempre richiedono due cose da diverse categorie. Quello che hai descritto (e in effetti tutti i "sistemi di informazioni memorabili") sono in realtà solo due password ... Sono d'accordo sul fatto che sembra un po 'inutile.

    
risposta data 05.04.2016 - 20:23
fonte
-1

La presenza di più "informazioni memorabili" riduce la sicurezza?

Sì (Vedi avvertenze). Le domande di sicurezza non sono un ottimo metodo per la sicurezza. Ad oggi, il panorama della sicurezza è molto spostato dagli attacchi Send and Pray, alle tattiche mirate di Social Engineered e gli aggressori sono motivati a scavare nella vita personale delle persone per ottenere i tuoi beni.

Perchè?

In primo luogo, l'implementazione delle domande di sicurezza è spesso il metodo invocato per proteggere password / username dimenticati / persi. Non è né complicato né complicato ottenere risposte da qualcuno dato che i social media sono così diffusi e la nostra psicologia è tale che preferiremmo dare alle persone il beneficio del dubbio piuttosto che l'intento malevolo.

In secondo luogo, (come sviluppatore) molti sviluppatori non comprendono effettivamente il processo di sicurezza, i veri significati di autenticazione, autorizzazione e identità, né comprendono la differenza tra autenticazione a più fattori (MFA) e autenticazione a due fattori (2FA). Le domande di sicurezza provano a fornire l'MFA, ma in media i programmatori finiscono per fornire un meccanismo che consente agli hacker di bypassare l'intera cosa che richiede una password.

Avvertimenti

Dato che lavoro nel settore bancario e in IS, controcorrente secondo me, noterò che non è raro che le banche / aziende utilizzino una domanda di sicurezza per MFA su articoli come l'accesso da dispositivi o posizioni sconosciute e prevenire gli hi-jack di sessione accoppiandoli con immagini preselezionate. Il loro intento non è quello di reimpostare la password, ma il ragionamento MFA più vero se si conosce il proprio nome utente e si sa qualcosa di te (EG nome del tuo primo cane) rispetto alla persona che tenta di accedere da una località sconosciuta (sconosciuta alla banca) è un più possibilità di essere te e dovrebbe procedere. C'è più ragionamento dietro di esso, ma sì.

    
risposta data 05.04.2016 - 22:50
fonte

Leggi altre domande sui tag