È una buona pratica o è obsoleta? Ti sto chiedendo perché non sono mai riuscito a ricordare una singola domanda di sicurezza, quindi scrivo sempre le risposte. Penso che siano inutili, le password lunghe o 2FA sono una pratica molto migliore.
È una buona pratica o è obsoleta? Ti sto chiedendo perché non sono mai riuscito a ricordare una singola domanda di sicurezza, quindi scrivo sempre le risposte. Penso che siano inutili, le password lunghe o 2FA sono una pratica molto migliore.
Per una domanda di sicurezza, si deve:
Il problema è che più alto è il punteggio su # 1, più basso è il punteggio su # 2. Quindi devi camminare una corda stretta qui. Se ti avvicini al n. 1, gli utenti dimenticheranno la risposta e aggiorneranno i loro account. Se ti avvicini al 2, chiunque può indovinare la risposta e la domanda diventa essenzialmente inutile.
Probabilmente non c'è un punto debole qui. Quindi dovremmo abbandonare l'intero concetto?
Bene, dipende.
Le domande di sicurezza possono essere utilizzate in molti modi.
Iniziamo con un pessimo modo di usarli - come unica protezione per il recupero dell'account e la reimpostazione della password. La risposta alla domanda diventa fondamentalmente una seconda password che è più facile da decifrare e intuire rispetto alla prima. È semplicemente spettacolare. Se non mi credi, chiedi a Sarah Palin .
Questo schema di utilizzo è probabilmente quello che ha dato ai quesitons di sicurezza il loro brutto nome. Ma c'è in realtà qualche altro caso d'uso legittimo per loro? Può essere. Che ne dici di questo:
In entrambi i casi, un attaccante determinato potrebbe trovare le risposte giuste. Ma non tutti gli aggressori sono determinati. Una semplice domanda di sicurezza potrebbe rendere gli attacchi automatizzati su larga scala dopo violazioni di dati di grandi dimensioni poco pratiche. Se ho un milione di password dal sito A, non posso testarle sul sito B se B richiede anche una domanda di sicurezza. O se faccio breccia in un provider di posta elettronica, non posso inviare un milione di link per reimpostare la password da tutti i tipi di siti, perché non conosco la risposta alle domande di sicurezza.
Il rovescio della medaglia qui è la contraddizione sopra discussa - tanto meno ovvia è la risposta alla domanda di sicurezza, tanto più è probabile che gli utenti costruiscano per errore il loro account. Ci sono soluzioni migliori qui, come i veri 2FA o codici di recupero dell'account. Ma implementare 2FA può essere difficile, e così anche gli utenti possono effettivamente stampare e archiviare quei fastidiosi codici di ripristino. Quindi a volte, per ragioni pragmatiche, una domanda di sicurezza potrebbe essere un buon compromesso.
Questo è il miglior caso che posso fare per loro. Non sono sicuro che sia un caso abbastanza valido per usarli effettivamente.
In un numero sorprendente di applicazioni una password + domanda di sicurezza è considerata l'autenticazione a 2 fattori. L'idea è che è qualcosa che sai mentre una password dovrebbe essere qualcosa che ricorderai (scrivo anche le password - ma in un database opportunamente crittografato!).
Sì, ci sono soluzioni molto migliori - ma gli sviluppatori web del mondo non stanno aspettando di scrivere il meccanismo di autenticazione perfetto per i lettori di questo sito. Ci sono molti modi per integrare (o migliorare) l'autenticazione della password, ma hanno bisogno di qualcosa che non disturbi i loro utenti, è disponibile per tutti i loro utenti, che non costa troppo, che non copre i confini giurisdizionali, che possono capire, e sentono di avere il controllo su ...
Come puoi vedere da altre risposte sullo stesso argomento (la ricerca di "domanda di sicurezza" qui riporta diverse domande correlate), domande di sicurezza tradizionali come "Qual è il nome da nubile di tua madre?" sono ora considerati una pessima pratica.
Alcuni siti web, al posto delle tradizionali domande di sicurezza, chiederanno il tuo numero di telefono o un indirizzo email alternativo. Potrebbero anche ricordarti di controllare regolarmente se le informazioni del tuo profilo sono aggiornate, per essere sicuro di utilizzare ancora l'e-mail associata al tuo account, ecc. Un altro modo per verificare la tua identità potrebbe essere quello di farti domande su come hai stato utilizzando il servizio, quali dati privati il servizio sta memorizzando su di te, ecc. Non sono sicuro di tutte le cose che Google può effettivamente chiederti, ma sono abbastanza sicuro che ti possano chiedere la data approssimativa quando hai creato il tuo account o il nome della città in cui di solito accedi.
Continuo a pensare che le domande di sicurezza possano a volte essere utili come informazioni aggiuntive, a condizione che gli utenti scrivano le proprie domande, magari insieme a clear e enorme avvertendo che non devono scegliere domande a cui è possibile rispondere facilmente da chiunque altro. Ma quelle domande di sicurezza non dovrebbero essere un modo semplice per bypassare comunque l'accesso alla password. Dovrebbero essere utilizzati solo come un modo eccezionale per aiutare a dimostrare l'identità dell'utente, e il processo non dovrebbe essere automatizzato (un processo non automatizzato potrebbe comportare una telefonata, per esempio).
È meglio di no secondo fattore, ma gli attuali standard 2FA raccomandano
Molte banche usano domande di sicurezza o riconoscimento delle immagini perché si pensa di fornire una protezione anti-phish, dove una volta che sei abituato a vedere la tua immagine / rispondere alla tua domanda di sicurezza, tu noterai la sua assenza.
Ovviamente questo può essere vanificato facendo in modo che il sito di phishing inoltrino il nome utente inserito, recuperando la domanda / immagine e mostrandoli all'utente, ma ciò va ben oltre la maggior parte delle campagne di phishing.
tl; dr Le domande di sicurezza non sono buone se usate come verifica client , ma possono essere utili come verifica-server , in modo da poter essere ragionevolmente il sito al quale si sta effettuando l'accesso è il sito vero e proprio.
Questo non si applica se il sito ti fa selezionare la domanda di sicurezza ogni volta, ma non è quello che fanno le banche che ho visto usando gli SQ.
Leggi altre domande sui tag account-security secret-questions