Déjenos un ejemplo de por qué las preguntas de seguridad son un mal sistema:
Ha olvidado su contraseña, y vaya a una página para restablecer su contraseña respondiendo preguntas. Todos sabemos que estas preguntas son horribles y fáciles de adivinar o descubrir. El consejo tan recomendado es elegir una respuesta y cambiar algunas letras en números y símbolos para evitar que sea adivinado fácilmente por personas o máquinas. ¡Ahora has olvidado cuáles fueron esos cambios que hiciste! Peor aún, si la respuesta fue breve, es fácilmente forzoso con suficiente poder de cómputo. Hagamos otra comparación:
Las similitudes no se detienen ahí . Para mantener segura la información de identificación personal, debe hacer un hash o cifrarla (idealmente hash) en la base de datos. En otras palabras, las preguntas de seguridad no son más que contraseñas adicionales para recordar. OWASP incluso recomienda contra ellos porque fallan en todas las mismas pruebas que las contraseñas. Son difíciles de recordar si están a salvo de adivinar y, lo que es peor, perjudican activamente la capacidad de uso. Sin embargo, para un atacante en este punto, es solo un poco más viable para ellos forzar la contraseña directamente en la cuenta que intentar descifrar o forzar las preguntas de seguridad y también piratear la cuenta de correo electrónico. No ha adquirido seguridad adicional porque esto perjudica activamente a los usuarios si olvidan estas contraseñas preguntas de seguridad y significa que nunca podrán restablecer su contraseña.
Solo el uso de un enlace para restablecer la contraseña debería ser suficiente para los dos métodos, ya que también utiliza las funciones de seguridad de la cuenta de correo electrónico, incluida la limitación de la tasa y, con suerte, la autenticación mfa. Así que realmente no utilice preguntas para restablecer la contraseña. Aún mejor si el correo electrónico usa TLS, se envía cifrado.
enlace