Proceso habitual
Hay dos formas comunes de implementar la llamada "pregunta de seguridad" (que de todos modos no creo que sea muy segura, pero ese es otro tema):
- Proponer al usuario que elija una pregunta de un conjunto de preguntas ya definidas,
- Proponer al usuario que escriba su propia pregunta.
El problema con la primera posibilidad es que tendrá una proporción muy grande de usuarios que reutilizarán la misma pregunta como, por ejemplo, el nombre de su primera mascota. Esto puede ser una debilidad ya que un atacante puede, con este ejemplo, usar un diccionario de nombres de mascotas comunes contra todos los usuarios que eligieron esta pregunta.
Con la segunda posibilidad, solo animas a tus usuarios a usar diferentes preguntas. Si bien el riesgo aquí es que pueden usar preguntas aún más débiles, al menos habrá un rango más amplio de preguntas diferentes, lo que hará que cualquier intento de automatización sea un poco más difícil para el atacante.
Sin embargo, en ambos casos la pregunta sigue siendo pública, solo la respuesta es secreta. Cuando haga clic en el enlace " Olvidé mi contraseña ", en cualquiera de estas situaciones se le preguntará su pregunta (ya sea la que ha elegido o la que escribió) y tendrá que proporcione la respuesta correcta para recuperar su acceso.
Si encuentra un sitio web que requiere que escriba tanto su pregunta como su respuesta durante el proceso de restablecimiento de la contraseña, entonces puede apostar a que este proceso ha sido diseñado por alguien un poco chiflado (y que este proceso probablemente se cambiará rápidamente cuando el departamento de soporte está harto de las quejas de los usuarios).
Caso específico de la captura de pantalla
El objetivo de cualquier sistema de autenticación es permitirle probar su identidad de alguna manera. La más rápida es usar una contraseña secreta, o en otra palabra, un secreto compartido entre usted y el servicio al que le gustaría demostrar su identidad.
Si olvida ese secreto compartido, entonces viene la (s) pregunta (s) de seguridad: le ofrecerán una forma alternativa de probar su identidad al dar algunos detalles sobre su vida personal que (con suerte) solo usted puede ahora.
Tener una pregunta para volver a pedir un secreto compartido parece simplemente inútil, ya que no proporciona ninguna forma alternativa de probar su identidad: si ha perdido su principal secreto compartido, lo más probable es que también haya perdido esta otra. .
Por lo tanto, definitivamente clasificaría este en la categoría "endeble".