¿Es una pregunta de seguridad que solo tiene que 'recordar' una buena idea?

4

Estaba configurando mis preguntas de seguridad de eBay y una de las opciones fue:

Ahorahevistositiosquetepermiten"escribir tu propia pregunta" y "escribir tu propia respuesta", pero a menos que hayan olvidado un campo de texto, ¡esto parece una mala idea!

No solo deberías recordar "tu propia frase" sino que también deberías recordar la respuesta.

¿Es este un esquema una buena idea?

Editar:

Acabo de darme cuenta de que podría probablemente significa que escribe la frase como la respuesta. No sé por qué no me di cuenta de esto.

    
pregunta Insane 25.01.2016 - 10:14
fuente

1 respuesta

2

Proceso habitual

Hay dos formas comunes de implementar la llamada "pregunta de seguridad" (que de todos modos no creo que sea muy segura, pero ese es otro tema):

  • Proponer al usuario que elija una pregunta de un conjunto de preguntas ya definidas,
  • Proponer al usuario que escriba su propia pregunta.

El problema con la primera posibilidad es que tendrá una proporción muy grande de usuarios que reutilizarán la misma pregunta como, por ejemplo, el nombre de su primera mascota. Esto puede ser una debilidad ya que un atacante puede, con este ejemplo, usar un diccionario de nombres de mascotas comunes contra todos los usuarios que eligieron esta pregunta.

Con la segunda posibilidad, solo animas a tus usuarios a usar diferentes preguntas. Si bien el riesgo aquí es que pueden usar preguntas aún más débiles, al menos habrá un rango más amplio de preguntas diferentes, lo que hará que cualquier intento de automatización sea un poco más difícil para el atacante.

Sin embargo, en ambos casos la pregunta sigue siendo pública, solo la respuesta es secreta. Cuando haga clic en el enlace " Olvidé mi contraseña ", en cualquiera de estas situaciones se le preguntará su pregunta (ya sea la que ha elegido o la que escribió) y tendrá que proporcione la respuesta correcta para recuperar su acceso.

Si encuentra un sitio web que requiere que escriba tanto su pregunta como su respuesta durante el proceso de restablecimiento de la contraseña, entonces puede apostar a que este proceso ha sido diseñado por alguien un poco chiflado (y que este proceso probablemente se cambiará rápidamente cuando el departamento de soporte está harto de las quejas de los usuarios).

Caso específico de la captura de pantalla

El objetivo de cualquier sistema de autenticación es permitirle probar su identidad de alguna manera. La más rápida es usar una contraseña secreta, o en otra palabra, un secreto compartido entre usted y el servicio al que le gustaría demostrar su identidad.

Si olvida ese secreto compartido, entonces viene la (s) pregunta (s) de seguridad: le ofrecerán una forma alternativa de probar su identidad al dar algunos detalles sobre su vida personal que (con suerte) solo usted puede ahora.

Tener una pregunta para volver a pedir un secreto compartido parece simplemente inútil, ya que no proporciona ninguna forma alternativa de probar su identidad: si ha perdido su principal secreto compartido, lo más probable es que también haya perdido esta otra. .

Por lo tanto, definitivamente clasificaría este en la categoría "endeble".

    
respondido por el WhiteWinterWolf 25.01.2016 - 11:40
fuente

Lea otras preguntas en las etiquetas