Diciamo che una parola segreta è dire, il nome del tuo primo animale domestico. Anche il nome da nubile della madre è comune.
Quando ha senso sfidare l'utente con questo? O quali azioni dovrebbero essere protette da una parola segreta?
Non sono sicuro di conoscere il valore di sicurezza di un'opera segreta, quale sia il suo valore intrinseco rispetto a una password.
Personalmente non utilizzerei mai nessuna di queste domande per reimpostare una password. Stai rendendo il tuo schema di password più vulnerabile, in quanto trovare domande segrete con risposte facili da trovare non è difficile.
Bruce Schneier ha avuto un post sul blog eccellente intitolato The Curse of the Secret Questions su questo:
The point of all these questions is the same: a backup password. If you forget your password, the secret question can verify your identity so you can choose another password or have the site e-mail your current password to you. It's a great idea from a customer service perspective -- a user is less likely to forget his first pet's name than some random password -- but terrible for security. The answer to the secret question is much easier to guess than a good password, and the information is much more public. (I'll bet the name of my family's first pet is in some database somewhere.) And even worse, everybody seems to use the same series of secret questions. The result is the normal security protocol (passwords) falls back to a much less secure protocol (secret questions). And the security of the entire system suffers.
Leggi altre domande sui tag authentication passwords