Inicio de sesión de 2 pasos: restablecimiento de la palabra memorable a través de correo electrónico O ¿Preguntas de seguridad?

3

Fondo

Tenemos un sistema implementado que requiere que los empleados inicien sesión mediante un proceso de verificación de 2 pasos (contraseña y nombre de usuario) + (un número definido de caracteres de una palabra Memorable seleccionada). Si el usuario no proporciona información sobre palabras memorables, se le solicita que responda a algunas preguntas de seguridad, por ejemplo, su número de seguro nacional antes de poder restablecer su palabra memorable.

Mi pregunta es:

¿Hay alguna ventaja en el enfoque anterior en comparación con el envío de un correo electrónico de restablecimiento al usuario?

    
pregunta Okavango 02.03.2016 - 19:04
fuente

1 respuesta

2

Primero, me gustaría señalar que esto no se considera un proceso de verificación de dos pasos porque todos los componentes que sugieres son "algo que sabes". Para poder realizar la verificación en dos pasos, debes tener "algo que eres" (por ejemplo, biometría) o "algo que tienes" (por ejemplo, una clave de seguridad o un token de autenticación de Google). Consulte Wikipedia en "Componentes" para autenticación de dos factores.

La única ventaja de este proceso sería que si el correo electrónico del usuario se ve comprometido, esto podría impedir que un atacante pueda restablecer su contraseña. Sin embargo, las preguntas de seguridad a menudo son predecibles y uno puede investigar el objetivo para encontrar las respuestas; como los nombres de soltera de cumpleaños y madres que a menudo son asuntos de registro público.

Por lo tanto, si bien tiene algunas ventajas de seguridad mínimas, un sistema como este no debe interpretarse como "autenticación de dos factores" y, en cambio, es solo "preguntas de seguridad adicionales" de valor cuestionable. Al permitir el restablecimiento de contraseñas basado en preguntas de seguridad que pueden ser investigadas por un atacante, también se abre un vector de ataque / vulnerabilidad separado.

    
respondido por el Herringbone Cat 02.03.2016 - 19:55
fuente

Lea otras preguntas en las etiquetas