¿Qué es más seguro para una función de restablecimiento de contraseña - preguntas de seguridad o enlace de restablecimiento en el correo electrónico? [duplicar]

Estoy de acuerdo con tu equipo de seguridad. La "pregunta de seguridad" no es segura por sí sola: las ciudades se pueden encontrar a través de ip, los nombres se pueden buscar en Google y se pueden adivinar los apodos de las mascotas.

Sin embargo, puede combinar ambos métodos: primero envíe el correo y, cuando el usuario haga clic en el enlace, haga la pregunta. De esta manera usted agregaría al menos un poco más de seguridad al procedimiento. También piense en un candado (por ejemplo, 12 horas) después de tres intentos fallidos para garantizar que no sea posible el uso de fuerza bruta.

Estoy de acuerdo con su equipo de seguridad, este tipo de preguntas son muy fáciles de eliminar de las redes sociales, la investigación en línea o simplemente las conjeturas. Se puede hacer mucho mejor que "como se llama tu perro", pero aún está anticuado.

Dependiendo de sus necesidades, en la mayoría de las situaciones, recomiendo una tercera opción. Se requiere el registro de un número de teléfono móvil y SMS al teléfono móvil con un código de verificación en el cambio de contraseña.

Lamentablemente, algunos usuarios tienen la misma contraseña / contraseña en todas partes. ¿Y qué pasa si este cliente tuyo ha tenido un atacante que comienza a tomar su cuenta de correo electrónico? Luego, descubra que tiene una cuenta en su producto al leer sus correos electrónicos. Luego, tome el control de su cuenta con su empresa, luego ... cambie la contraseña, ya que usted le envía un enlace para cambiar la contraseña.

Déjenos un ejemplo de por qué las preguntas de seguridad son un mal sistema:

Ha olvidado su contraseña, y vaya a una página para restablecer su contraseña respondiendo preguntas. Todos sabemos que estas preguntas son horribles y fáciles de adivinar o descubrir. El consejo tan recomendado es elegir una respuesta y cambiar algunas letras en números y símbolos para evitar que sea adivinado fácilmente por personas o máquinas. ¡Ahora has olvidado cuáles fueron esos cambios que hiciste! Peor aún, si la respuesta fue breve, es fácilmente forzoso con suficiente poder de cómputo. Hagamos otra comparación:

• Contraseña: Envíe una carga útil a un servidor para compararla con un hash

• Preguntas de seguridad: Envía una carga útil a un servidor para compararla con un hash.

Las similitudes no se detienen ahí . Para mantener segura la información de identificación personal, debe hacer un hash o cifrarla (idealmente hash) en la base de datos. En otras palabras, las preguntas de seguridad no son más que contraseñas adicionales para recordar. OWASP incluso recomienda contra ellos porque fallan en todas las mismas pruebas que las contraseñas. Son difíciles de recordar si están a salvo de adivinar y, lo que es peor, perjudican activamente la capacidad de uso. Sin embargo, para un atacante en este punto, es solo un poco más viable para ellos forzar la contraseña directamente en la cuenta que intentar descifrar o forzar las preguntas de seguridad y también piratear la cuenta de correo electrónico. No ha adquirido seguridad adicional porque esto perjudica activamente a los usuarios si olvidan estas contraseñas preguntas de seguridad y significa que nunca podrán restablecer su contraseña.

Solo el uso de un enlace para restablecer la contraseña debería ser suficiente para los dos métodos, ya que también utiliza las funciones de seguridad de la cuenta de correo electrónico, incluida la limitación de la tasa y, con suerte, la autenticación mfa. Así que realmente no utilice preguntas para restablecer la contraseña. Aún mejor si el correo electrónico usa TLS, se envía cifrado.

enlace