Estoy creando una función de recuperación de contraseña segura similar a la descrito aquí .
Durante la fase final de la recuperación de la contraseña, se le pide al usuario una pregunta de recuperación para verificar su identidad.
¿Alguien sabe dónde puedo encontrar una lista de preguntas de recuperación de muestra? Lo ideal sería que estas preguntas fueran examinadas por sensibilidad cultural o, si es posible, también de naturaleza humorística (en relación con el tema del sitio web).
Pruebe lo siguiente: goodsecurityquestions.com : proporciona una lista de ejemplos buenos y malos, junto con pautas sobre cómo pensar acerca de la seguridad preguntas También afirman que sus directrices han sido utilizadas por Prudential, Delta Airlines, American Express e ING Direct.
Cita interesante del sitio:
Sin embargo, realmente NO hay BUENAS preguntas de seguridad; justo o malo preguntas "Bien" da la impresión de que estas preguntas son Aceptable y proteger al usuario. La realidad es, cuestiones de seguridad. Presentar una oportunidad para el incumplimiento e incluso las mejores preguntas de seguridad. no son lo suficientemente buenos como para eliminar todos los ataques. Hay una compensación; Autoservicio frente a riesgos de seguridad.
Las preguntas de desafío a menudo son la parte más débil de un mecanismo de contraseña en línea: forzar el "apellido de soltera de la madre" o "primera escuela" o incluso el "nombre de la mascota" hace que sea muy fácil para un atacante, ya que esta información suele ser pública. / p>
En principio, permitir que los usuarios elijan sus propias preguntas podría brindarle un poco más de seguridad, si son lo suficientemente inteligentes como para no usar las preguntas estándar, que en mi experiencia, no lo son.
Me gusta la respuesta de Rook: escriba basura aleatoria, pero recuerde cuál debería ser la respuesta: esto hará que sea difícil para un atacante.
O escriba basura para la pregunta y respuesta: esto obliga a restablecer la contraseña para tener que usar rutas alternativas (como usar un desafío telefónico, visitar el banco, etc.), lo que podría hacer que sea aún más difícil para un atacante.
Primero, no piense en la recuperación de la contraseña, piense en la recuperación de la cuenta. (La recuperación de la contraseña lleva a querer almacenar contraseñas en texto plano, lo cual es malo).
En segundo lugar, hay muchas buenas críticas de estas preguntas. Deberías preguntar, ¿por qué usarlos?
La respuesta correcta depende de lo bien que conozca a sus clientes. Un banco puede usar una verificación de ID, mientras que una barrera baja para el servicio de entrada como Twitter o Instagram puede usar un desafío enviado al correo electrónico del cliente.
En cualquier caso, cuanto más su autenticación de copia de seguridad use los detalles que solo usted y su cliente conocen, más segura (y potencialmente utilizable) será.
Lea otras preguntas en las etiquetas passwords password-management