Primero, las preguntas sobre legalidad deben dirigirse al enlace . En cuanto al resto, vamos a dividirlo en seguridad de pregunta secreta y seguridad de identificación:
Preguntas secretas
El uso de preguntas secretas en absoluto para la recuperación de la cuenta ha sido básicamente un paso de seguridad "obsoleto" durante bastante tiempo. Mi ejemplo de por qué esto es una mala idea es el pirateo de la cuenta de correo electrónico de Sarah Palin durante las elecciones presidenciales de 2008 en Estados Unidos. La persona que accedió a su correo electrónico lo hizo utilizando la función de restablecimiento de contraseña en yahoo, lo que pudo hacer porque usaron preguntas secretas y todas sus preguntas / respuestas se basaron en información pública disponible sobre su vida.
Como sugerencia general, cada vez que me encuentro con un sitio que utiliza preguntas de seguridad, en realidad no respondo ninguna de las preguntas. En cambio, genero una cadena aleatoria larga (que almaceno en un administrador de contraseñas o lo que no) y la uso para la respuesta. Debido a que las preguntas de seguridad se basan en información personal, son un factor de riesgo principalmente para ataques dirigidos (también conocido como Sarah Palin). Como resultado, usar una cadena aleatoria como respuesta a una pregunta de seguridad significa que incluso si alguien conoce el segundo nombre de su maestro de segundo grado, no podrá ingresar a su cuenta bancaria (porque en realidad no respondió). la pregunta que hicieron). Entonces, haga lo que haga, si un sitio utiliza preguntas de seguridad, trátelas como una contraseña y proporcione una cadena aleatoria larga. También tenga en cuenta que quienquiera que configure el sitio no está haciendo bien la seguridad.
Sin embargo, en la pregunta real: "¿Es esto seguro?". Seguro es un término sin sentido en el mundo de la seguridad. Nada es seguro. Sólo es siempre "lo suficientemente seguro para mis propósitos". Desde esa perspectiva, probablemente no me preocuparía demasiado también si estuvieran almacenando sus respuestas en texto sin formato. La respuesta a un par de preguntas de seguridad probablemente no ayude mucho a un atacante, ya que en la actualidad pocos sitios las usan y las preguntas varían de un sitio a otro. Como resultado, incluso si alguien obtuvo una respuesta a una pregunta de seguridad suya en un sitio que usa, no puede simplemente obtener acceso a otras cuentas suyas como lo haría si hubieran encontrado la única contraseña que usó en todos lados. Sin embargo, ahora podría ser el momento de buscar todas sus cuentas en sistemas que tengan preguntas de seguridad y reemplazarlas por errores en lugar de respuestas reales (o simplemente eliminar su cuenta ya que estas personas no saben lo que están haciendo).
Identificación del correo electrónico
Creo que tú mismo sabes bastante la respuesta a esta pregunta, pero solo para decirlo en voz alta: el envío de información confidencial (PI) a través de un canal inseguro es definitivamente una mala idea. En este caso, aunque tiene la ventaja de al menos informarle que tienen malas prácticas de seguridad. Utilicé un sistema una vez que me exigía tomar una fotografía de mi ID utilizando la cámara web de mi computadora a través de una conexión HTTPS segura. Suena bien, por supuesto (o al menos, ese es el mínimo requerido para hacerlo bien). Por lo que sé, a pesar de que almacenaron imágenes de mi ID en un cubo público de AWS S3 que luego encontrarán los piratas informáticos y luego se difundirán en las noticias ( y sucede cada dos días ).
Me doy cuenta de que eso no es un gran consuelo, pero como es bastante obvio que enviar tu información personal a través de canales no cifrados es una idea terrible, creo que podría intentar encontrar buenas noticias. Al menos ahora sabe que su seguridad es terrible, y puede tomar medidas en consecuencia: genere y use una contraseña única y larga para este sitio, cambie las respuestas a sus preguntas de seguridad para que sean cadenas aleatorias largas, almacene poca información en su sistema como puede salirse con la suya, y quejarse en voz alta a quien sea que pueda sobre la mala utilización y el almacenamiento de sus datos. Si también puedes confirmar que están almacenando tus datos ilegalmente, entonces tienes un montón de personas de las que puedes quejarte, por lo que tal vez se pueda hacer algo al respecto (pero no me quedaría sin aliento).