Devo mostrare la risposta di sicurezza quando l'utente torna a modificare il campo?

Naviga le tue risposte
1

Quindi, quando un utente si registra per creare un account, è necessario selezionare alcune domande e inserire le risposte di sicurezza. Una volta che lo fanno, possono andare avanti verso una pagina di revisione che mostra loro le domande di sicurezza ma maschera le risposte (ho messo una risposta fittizia mascherata nella pagina di revisione). Ora hanno la possibilità di modificare le loro informazioni prima di creare un account.

Quindi, se l'utente decide di tornare indietro e modificare le domande e le risposte sulla sicurezza, mi chiedo se dovrei mostrare le risposte dal server al client in testo semplice (il client vuole che le risposte vengano digitate come testo normale) o dovrei semplicemente cancellare tutto il campo delle risposte (ma mantenere la selezione delle domande) e chiedere all'utente di digitare nuovamente tutte le risposte per procedere?

Qual è l'approccio migliore dal punto di vista della sicurezza?

Al momento eseguirò l'hashing e aggiungerò un salino alle risposte di sicurezza da salvare come tali nel database.

    
posta Kala J 19.06.2015 - 18:04
fonte

1 risposta

1

Supponendo che tutto ciò sia fatto durante il processo di registrazione, che suona come è, non ci sono molti rischi associati alla visualizzazione delle risposte in chiaro all'utente. È abbastanza improbabile che un utente malintenzionato sia in grado di dirottare la sessione di registrazione di un utente al centro per poter visualizzare le risposte alle domande sulla sicurezza.

Tuttavia, non sembra che sarebbe terribilmente scomodo per l'utente se si nascondono quelle risposte. Suppongo che una piccola percentuale di persone potrebbe tornare a modificarli per assicurarsi che abbiano registrato la risposta che pensavano di aver fatto qualche istante fa, ma potevano anche semplicemente ridigitare la risposta che volevano. Quindi, se ti fa sentire meglio escluderli, probabilmente non ci sarà molta frustrazione dell'utente associata a quella pratica.

Se un utente può accedere all'app in un secondo momento e modificare le risposte alle domande di sicurezza, il mio consiglio sarebbe di non visualizzare le risposte correnti poiché è più probabile che un utente malintenzionato possa dirottare una sessione normale (o trovare un accesso browser) e copiare le risposte.

Sembra che il tuo piano di hash delle risposte renderebbe comunque tale funzionalità impossibile nella tua app. È probabile che tale pratica ti causi alcuni problemi di usabilità dal momento che le persone non possono digitare la risposta di sicurezza esattamente nello stesso modo durante l'iscrizione e successivamente durante l'uso. Alcune implementazioni di domande di sicurezza crittografano invece le risposte in modo che possano effettuare confronti più sciolti (ad esempio non distinzione tra maiuscole e minuscole, ignorare gli spazi finali, ecc.) E risultare più facili da usare. Questo è un po 'meno sicuro, ma è un compromesso che alcune persone sono disposte a fare.

    
risposta data 19.06.2015 - 18:25
fonte

Leggi altre domande sui tag

Forza ID sessione ASP.NET È corretto sigillare i dati su TPM SRK direttamente?