Quando impostare le domande di sicurezza per un'applicazione web?

Naviga le tue risposte
0

Per una maggiore sicurezza, possiamo utilizzare le domande di sicurezza e usarle come mezzo per consentire agli utenti di reimpostare le password dimenticate o come mezzo aggiuntivo per l'autenticazione.

Quando saremmo il momento giusto per chiedere all'utente selezionare le domande e impostare le risposte?

1- al momento in cui un nuovo utente crea un nuovo account con l'applicazione Web (inserire nome utente, password e domande sulla sicurezza della risposta)?

2- o al momento del primo accesso (dopo aver confermato che l'e-mail è valida)?

Esiste qualche fattore di sicurezza e di esperienza dell'utente da applicare a una di queste opzioni?

    
posta Goli E 29.01.2015 - 18:53
fonte

3 risposte

1

Nessuna risposta corretta.

Tuttavia odio le domande sulla sicurezza. Non li ricordo mai. Di solito li riempiono di cose casuali. Se devo recuperare il sito, chiamerò la società o presenterò comunque un ticket di supporto.

Non hai dato abbastanza informazioni per capire veramente la situazione, quindi ecco alcune opzioni. 

Option 1
 1. creates account
 2. confirms email
 3. answers sec questions
 4. Uses site

Option 2
 1. creates account
 2. answers sec questions
 3. confirms email
 4. uses site

Le opzioni 1 e 2 sono le stesse. Entrambe le domande e la conferma sono richieste prima che l'utente possa fare qualsiasi cosa. 

Option 3
 1. creates account
 2. Uses site
 3. Tries to do something (save data, print, email, etc)
 4. Forced to confirm email
 5. Forced to answers security questions

Mi piace l'opzione 3 se il tuo sito lo supporta. L'utente può utilizzare il sito, ma li blocca da qualsiasi funzionalità reale fino a quando non conferma la sua email. Fornisce all'utente la possibilità di valutare il sito prima di impegnarsi nei tempi supplementari. 

Option 4
1. Creates account
2. Confirms email
3. Uses site
4. Next Login, asked security questions

L'opzione 4 è il modo in cui gmail si avvicina alle funzionalità di sicurezza aggiuntive. Il presente l'utente con un'opzione per inserire numeri di telefono e altri elementi di recupero. Certo, non fanno domande di sicurezza. Usano i telefoni. Il che è molto meno oneroso per l'utente.

    
risposta data 29.01.2015 - 19:30
fonte
0

"For enhanced security, we can use security questions and use them as a means for users to reset forgotten passwords or as an additional means for authenticating."

Quindi ti stai ancora affidando all'autenticazione a un fattore, qualcosa che l'utente conosce e guadagna poco in termini di sicurezza. Quello che vuoi fare è implementare qualcosa in cui l'utente riceve un messaggio di testo o un tipo di token inviato a un dispositivo che controllano.

Tuttavia, per rispondere alla domanda posta da una pura esperienza di UX, non chiedere mai a loro di fornire una serie di domande di sicurezza a meno che l'utente esplicitamente richieda che il proprio account sia recuperabile. Questo può essere gestito consentendo a un utente di modificare il proprio profilo e contrassegnare una casella di controllo che dice "Vorrei recuperare il mio account". Questo processo genererebbe quindi una modale che ha generato domande di sicurezza nel caso in cui perdessero la password.

    
risposta data 29.01.2015 - 19:04
fonte
0

Tendi a voler aggiungere un altro livello di sfida quando le condizioni di accesso cambiano:

  • recupero della password (come hai detto)
  • primo accesso (come hai detto)
  • accedi da una nuova posizione
  • dopo X tentativi di accesso falliti
  • ecc.
risposta data 29.01.2015 - 19:39
fonte

Leggi altre domande sui tag

Standard attuale di autenticazione In che modo PayPass / payWave è sicuro quando è richiesto il PIN dopo aver presentato la carta al terminale senza contatto?