¿Qué pasa si el usuario no puede responder la pregunta de seguridad durante el restablecimiento de la contraseña?

Navega tus respuestas
2

Estoy pensando en la lógica de recuperación de mi contraseña para un sistema de comercio electrónico. Algunos antecedentes: las contraseñas se almacenan utilizando bcrypt, la recuperación de la contraseña implica el enlace de restablecimiento estándar, que luego se puede usar para restablecer la contraseña dentro de un período de tiempo limitado.

Me gustaría agregar un paso adicional antes de permitir que los clientes se reinicien, como pregunta de seguridad . Mi pregunta es ¿cuál es la mejor práctica, utilizando los estándares de seguridad actuales, para situaciones en las que el cliente no puede responder la pregunta de seguridad?

¿El sistema les solicita alguna otra información segura relacionada con su último pedido, como los últimos 4 dígitos de su tarjeta de crédito? (En caso afirmativo, ¿qué pasa si el cliente todavía no ha realizado un pedido?)

En mi situación, necesitaría todo el proceso para poder hacerlo en línea (aunque por teléfono, aunque me gustaría saber cuáles son los beneficios del teléfono). No queremos que los clientes no puedan realizar pedidos si no pueden comunicarse con el servicio de atención al cliente.

    
pregunta Rivka 02.02.2014 - 19:20
fuente

5 respuestas

2

Esto dependerá en cierta medida de cuánta seguridad necesite.

Usted menciona que usted es un sitio de comercio electrónico; ¿Almacena las tarjetas de crédito de los clientes para realizar pedidos con un solo clic? Si no, espero que el impacto de la violación de la cuenta sea relativamente menor, por lo que probablemente pueda salirse con un proceso de restablecimiento de contraseña relajado. Por ejemplo, simplemente enviando un enlace de restablecimiento a la dirección de correo electrónico almacenada, sin ninguna pregunta de seguridad.

Si permite realizar un pedido con "un solo clic", es posible que tenga ciertos controles para limitar el riesgo de esto, como el envío a la dirección de facturación de la tarjeta, y un proceso de restablecimiento de contraseña relajado podría ser apropiado.

Si realmente necesita alta seguridad en las cuentas, debe tener un proceso de restablecimiento de contraseña seguro. Lo más fuerte de todo es tener una inscripción en persona donde se capturan datos biométricos y un proceso de restablecimiento de contraseña en persona donde se verifican los datos biométricos. En la práctica, esto solo lo hacen unos pocos gobiernos de países desarrollados para pasaportes o esquemas nacionales de identificación. Y en ese momento, no confiaríamos en las contraseñas, ¿verdad?

Otro enfoque es el análisis transaccional basado en el riesgo. Por lo tanto, normalmente puede tener la política que enviará a cualquier dirección. Sin embargo, si la cuenta recientemente (por ejemplo, los últimos 7 días) se restableció la contraseña, solo se enviará a la dirección de facturación.

    
respondido por el paj28 03.02.2014 - 21:45
fuente
6

Las preguntas de seguridad suelen ser estúpidas e inútiles. Se basan en información que generalmente se obtiene fácilmente a través de una búsqueda rápida en Internet de las cuentas de redes sociales del objetivo y no es una buena manera de probar la identidad.

  

¿El sistema les solicita alguna otra información segura relacionada con su último pedido, como los últimos 4 dígitos de su tarjeta de crédito? (En caso afirmativo, ¿qué pasa si el cliente todavía no ha realizado un pedido?)

Los últimos 4 dígitos de una tarjeta de crédito son no tampoco información segura. Vea un caso reciente y bien conocido de ingeniería social que explota precisamente esto.

Personalmente, acabo de enviar un correo electrónico para restablecer la contraseña a la cuenta de correo electrónico que figura en la lista y terminar con eso. Cualquier otro paso generalmente servirá para molestar a sus clientes más que para protegerse contra cualquier amenaza real.

    
respondido por el Ayrx 03.02.2014 - 04:32
fuente
2

¿No podría ocultar / borrar toda la información secreta (personal, facturación, pago) cuando el usuario restablece la contraseña?

Probablemente no les tomará mucho tiempo volver a ingresar a estos. También puede restaurar todo esto cuando logran volver a ingresar una información de pago válida que coincida con la anterior.

Nunca confíe en ninguna información que pueda ser socialmente diseñada (cumpleaños, cualquier cosa favorita, cualquier cosa relacionada con los miembros de la familia) o que esté fácilmente disponible en una cuenta de correo electrónico comprometida (números de pedido anteriores, direcciones, etc.).

    
respondido por el billc.cn 22.03.2014 - 13:22
fuente
1

como dice Terry Chia, las preguntas de seguridad son, en mi opinión, una pérdida de tiempo.

Si no permite un número máximo de conjeturas sin un bloqueo de cuenta, corre el riesgo de un ataque de fuerza bruta. Si habilita un bloqueo de cuenta, se arriesga a un ataque DoS contra la cuenta del usuario.

En cualquier caso, tienes problemas de enumeración de nombre de usuario.

Iría a enviar un correo electrónico a la dirección registrada en la cuenta, con un mensaje 'Si ingresó un nombre de usuario válido, se enviará un correo electrónico de restablecimiento de contraseña a nuestra dirección de correo electrónico registrada'.

    
respondido por el Jay 03.02.2014 - 20:39
fuente
0

En mi opinión, la pregunta de seguridad debería ser la última forma de restaurar la contraseña. Después de eso, si alguien no pasa, el siguiente paso sería ponerse en contacto con el servicio de atención al cliente y al proporcionar información sobre su cuenta que demuestre que es suyo (identificaciones de transacciones Ex, actividad reciente, etc.) el equipo le enviará de vuelta (por correo electrónico, preferiblemente) un restablecimiento enlace solo válido por un par de días.

    
respondido por el user36976 02.02.2014 - 19:56
fuente

Lea otras preguntas en las etiquetas

Dónde almacenar los detalles confidenciales del cliente (credenciales de MYSQL DB) [duplicado] ¿Hay un equivalente interno a fail2ban?