¿Por qué las aplicaciones web no usan preguntas de seguridad personalizadas?

Navega tus respuestas
3

Según mis propias lecturas, las preguntas de seguridad en los sitios web parecen tener una reputación en la industria por ser obsoletas e inseguras, la información básica que necesitan está fácilmente disponible para cualquier persona que pueda Google, a diferencia de los años 80 cuando se desarrollaron para el sector bancario.

Sin embargo, se me ocurre que gran parte de esto se debe al hecho de que la mayoría de las preguntas de seguridad se guardan y se reutilizan en prácticamente todos los sitios que las usan, lo que reduce enormemente la lista de posibles respuestas. Seguramente, ¿dar a los usuarios la opción de crear sus propias preguntas de seguridad personalizadas con respuestas personalizadas resolvería este problema? Sé que sería mucho más probable que recordara una respuesta a una pregunta básica que me había ideado, y es menos probable que un hacker pueda descubrir cuál es mi auto favorito que el apellido de soltera de mi madre. Entonces, ¿por qué no es esta práctica común en la industria y por qué las aplicaciones web insisten en usar las mismas preguntas enlatadas?

    
pregunta Hashim 17.10.2016 - 00:37
fuente

4 respuestas

3

El principal problema con las preguntas de seguridad es lo fácil que puede ser obtener las respuestas, sin importar cuál sea la pregunta real.

Has planteado 2 ejemplos que me suenan igual de mal:

  • Coche favorito : puede ser extremadamente trivial de obtener. ¿Qué sucede si conoce el nombre de usuario de la persona que también utiliza en un foro de automóviles que muestra cuál es su automóvil favorito?
  • Nombre de soltera de la madre : estamos en una era en la que las personas comparten sin pensar información personal a través de las redes sociales. Dependiendo del sistema, podría ser muy fácil averiguar el nombre de la persona y una búsqueda rápida en su página de Facebook podría revelar esta información.

Además, estos son altamente vulnerables a los ataques de ingeniería social. Tomemos un juego multijugador en línea, por ejemplo. Un usuario podría hacerle preguntas casuales y luego, sin darse cuenta, podría estar respondiendo preguntas que le permitirían al usuario recuperar su cuenta.

Finalmente, dejar que el usuario decida la pregunta es una gran responsabilidad de la que probablemente no estaría al tanto. No puede esperar que el usuario ingrese una pregunta de la que nadie sabrá la respuesta cuando aún se puedan ver contraseñas como Contraseña1 .

Para concluir

Por estas razones, es difícil justificar el uso de preguntas de seguridad y sugeriría implementar la recuperación de correo electrónico, lo que requiere que el atacante controle su dirección de correo electrónico o realice con éxito el phishing para recuperar su contraseña.

    
respondido por el Simon 17.10.2016 - 01:22
fuente
1

¿Por qué los usuarios no pueden definir sus propias preguntas?

Las preguntas de seguridad personalizadas son un problema porque los usuarios son malos para elegir las preguntas.

Por ejemplo

  • Pregunta: ¿Quién es tu Beatle favorito?
  • Respuestas: John, Paul, Ringo o el otro chico
  • Problema: variedad insuficiente (solo hay cuatro respuestas posibles)

o

  • Pregunta: ¿Dónde naciste?
  • Respuestas: Boston MA, Boston Massachusetts, Boston Mass, Boston General Hospital
  • Problema: el sistema no puede hacer coincidir determinísticamente la respuesta almacenada con la respuesta suministrada

o

  • Pregunta: ¿Cuál es tu fecha de nacimiento?
  • Respuesta: bastante sencillo
  • Problema: la respuesta se puede almacenar en texto claro (para admitir la autenticación telefónica con una CSR) que no estaría en PCI-DSS conformidad.

¿Por qué toleramos las preguntas de seguridad, que obviamente no son una solución muy buena?

La MFA se introdujo a través de guía revisada de la FDIC en 2005 . Los bancos se encontraban bajo una gran presión regulatoria para que los sistemas de AMF estuvieran implementados para EOY 2006. Lo más barato y fácil de hacer fue introducir preguntas y respuestas de seguridad, pero no son ideales. En estos días, las implementaciones de banca en línea más nuevas utilizarán fuera de banda OTP en su lugar, como un código que se envía a su teléfono móvil.

Si mi banco todavía usa preguntas de seguridad, ¿estoy en riesgo?

Todo esto no significa necesariamente que un sitio bancario que utiliza preguntas de seguridad lo pone en un riesgo terrible. Las transacciones peligrosas, como las transferencias externas, generalmente están protegidas por otras cosas, como un motor de detección de fraudes basado en reglas, auditorías administrativas y disposiciones de recuperación.

En cualquier caso, el riesgo de pérdida monetaria está en el banco, no en usted.

    
respondido por el John Wu 17.10.2016 - 22:05
fuente
1

Su pregunta asume que existe una pregunta de buena seguridad. Yo diría que no hay tal cosa. Esto siempre ha sido cierto, pero el mundo conectado y las redes sociales de hoy lo hacen evidente.

Una buena pregunta de seguridad requeriría una respuesta que no sea fácilmente conocida o detectable, no subjetiva, estática, tenga una respuesta única clara y aplicable. Las razones de esos requisitos deben ser bastante obvias, pero una pregunta de seguridad no es buena si no es un secreto o depende de su estado de ánimo ese día o de cambios con el tiempo, tiene varias respuestas posibles o simplemente no se aplica a alguien.

Esto elimina prácticamente todo lo relacionado con su familia (apellido de soltera de la madre, cumpleaños, etc.), ya que es fácil de descubrir incluso si no lo publica usted mismo en las redes sociales. También elimina su XYZ favorito, ya que los favoritos son subjetivos y cambian con el tiempo. También puede eliminar el color de su primer automóvil, ya que puede ser información fácilmente disponible, no se aplica a muchas personas o incluso no tiene una única respuesta clara. ¿Es el carro gris o plata ártica o gris plata metalizado? Casi todo lo que puedas hacer fracasará en una o más de estas pruebas, incluso si estás intentando hacer preguntas por tu cuenta.

Incluso si deja que las personas elijan sus propias preguntas y se encuentren con buenas razonables, es probable que simplemente empiecen a reutilizarlos en varios sitios y la primera infracción que surgió los tendría en texto claro en la base de datos y ya no serían buenas preguntas de seguridad.

    
respondido por el Evan Steinbrenner 18.10.2016 - 00:49
fuente
-2

Las preguntas pueden ser genéricas, pero las respuestas no tienen por qué serlo. Si usa una aplicación de administración de contraseñas y se adhiere estrictamente a un sólido proceso de administración de contraseñas, entonces podría usar respuestas generadas aleatoriamente.

Para una pregunta como "¿Cuál fue la marca de tu primer auto?" en lugar de poner "Ford", deberías poner algo como "hIUYkjh7657".

Ninguna cantidad de redes sociales de arrastre conseguirá un posible pirata informático cerca de la respuesta.

    
respondido por el user1751825 17.10.2016 - 05:34
fuente

Lea otras preguntas en las etiquetas

Si un firewall elimina paquetes de DOS antes de que lleguen a la aplicación designada. ¿Es posible entonces romper el firewall con un ataque DDOS? Google Hangout Dialer expone el ID de usuario