Restablecimiento de la contraseña pregunta respuesta complejidad

Navega tus respuestas
2

Necesito implementar una función de restablecimiento de contraseña para un sistema que será controlado por un par de preguntas y respuestas de seguridad. El problema es que no puedo garantizar que tenga una dirección de correo electrónico válida o un número de celular para la cuenta que puedo usar para comunicar un enlace o código de restablecimiento. Esto significa que todo el proceso sucederá en la página web. tendré una dirección de correo electrónico conocida para el usuario, pero es una dirección emitida por el sistema en primer lugar, lo que significa que el hecho de que alguien esté usando esta función puede implicar que no. Ya no tengo acceso a esa cuenta.

En esta circunstancia, parece que la respuesta de seguridad se convierte efectivamente en una contraseña alternativa, ya que saber la pregunta (planeo exigirle que seleccione la pregunta correcta de una lista también) y la respuesta para una cuenta son las mismas Como saber la contraseña. Esto me hace pensar que necesitaría tener el mismo tipo de requisitos de complejidad para la respuesta de seguridad que hace para una contraseña. Sin embargo, no recuerdo haber visto esto implementado. Si me he topado con los requisitos, generalmente es algo simple, como al menos 3 caracteres, solo para asegurarte de poner algo verificable en el campo. También confían en el hecho de que enviar el código a una ubicación registrada en lugar de la complejidad adicional.

Planeo mitigar esto también enviando un correo electrónico al finalizar, o cuando la sesión expira en caso de falla, y limitando el número de intentos en un período de tiempo determinado. El administrador del sistema tiene la capacidad de hacer un restablecimiento manualmente, sin saber la pregunta / respuesta o la contraseña original, por lo que no puedo perder el control de la cuenta. Pero parece que todavía me falta algo. ¿Cómo debo manejar esto?

    
pregunta Joel Coehoorn 11.03.2015 - 17:37
fuente

3 respuestas

2
  

En estas circunstancias, parece que la respuesta de seguridad se convierte efectivamente en una contraseña alternativa

Eso es correcto. Por eso también parece una idea realmente mala. Solo funcionará como una característica si la pregunta es algo simple, algo que el usuario sabrá sin tener que recordarlo, lo que significa que un atacante también puede resolverlo (buscando información en línea, en Facebook, preguntando a la víctima, etc).

Su idea actual debilitaría considerablemente la seguridad de sus cuentas de usuario, por lo que buscaría una alternativa. La mejor manera sería requerir una dirección de correo electrónico o un número de teléfono alternativos (como la mayoría de los proveedores de correo electrónico, como google).

Otra alternativa (si necesita nombres reales para registrarse) sería requerir algo como la copia de un documento de identificación para la recuperación de la contraseña. Un atacante podría ser capaz de obtener esto (especialmente si conoce personalmente a su víctima), pero sería un poco más complicado.

Si desea mantener su concepto, al menos realizaré restablecimientos de contraseñas por teléfono en lugar de en línea, para disuadir a algunos atacantes.

    
respondido por el tim 11.03.2015 - 18:08
fuente
2

No recomendaría hacer lo que intentas hacer. Como señaló, la pregunta / respuesta es mucho menos segura que un usuario / pase normal, y la seguridad es tan efectiva como el enlace más débil, y obviamente este tipo de implementación es el enlace débil. Además, aparte, puede ser difícil recordar qué pregunta de seguridad se seleccionó originalmente.

Tu problema es exactamente como lo dijiste:

  

El problema es que no puedo garantizar que tenga una dirección de correo electrónico o un número de celular válidos para la cuenta que puedo usar para comunicar un enlace o código de restablecimiento.

Le sugiero que pregunte por qué no? ¿Qué puedes hacer para que lo garantices? Existen algunos sitios web (muy populares) que le dan la opción de asociar una dirección de correo electrónico con su cuenta. Si lo hace, puede restablecer su contraseña. Si no lo hace y olvida su contraseña, entonces está SOL y debe crear una nueva cuenta. Consideraría ese enfoque sobre la reducción de la seguridad de todos, por lo que algunas personas que eligen no enviar un correo electrónico válido pueden restablecer su contraseña.

    
respondido por el TTT 11.03.2015 - 19:48
fuente
0

No intentes reinventar la rueda. No sacrifiques la seguridad por la usabilidad

Los esquemas de restablecimiento de contraseñas existentes ya se han probado y validado frente a las amenazas de control de acceso. No son perfectos pero son aceptados.

El enfoque que propone para restablecer la contraseña es muy débil.

Piensa que soy un atacante. No necesito ir tras la cuenta e intentar la fuerza bruta costosa o el ataque de diccionario. Solo necesito reclamar que olvidé mi contraseña y luego iré a la página de preguntas de seguridad donde tengo una lista de todas las posibles preguntas válidas que puedo probar en cada una de ellas. Lo más probable es que la respuesta sea una palabra o frase del diccionario o al menos legible por humanos. Además, conozco un poco de ingeniería social, es cierto que la cuenta que estoy intentando atacar conozco al propietario legítimo de la cuenta. La posibilidad de entrar en la cuenta es muy alta.

    
respondido por el Ubaidah 11.03.2015 - 20:36
fuente

Lea otras preguntas en las etiquetas

¿El hecho de cambiar la cantidad predeterminada de iteraciones en KeePass (u otras aplicaciones de cifrado) aumenta la seguridad? Todos los caracteres UTF-8 para las contraseñas generadas