¿Cómo tratar las preguntas de seguridad incorrecta no opcionales?

Navega tus respuestas
19

De vez en cuando, tengo que configurar una cuenta en un sitio que, aunque aparentemente al menos no almacene mi contraseña en texto sin formato, todavía me obliga a elegir entre un conjunto limitado de preguntas de seguridad que se pueden usar para recuperar la contraseña fines Dado que las preguntas suelen ser fáciles de responder por algún tipo de googlear o ingeniería social (a la "¿Cuál es el apellido de soltera de su madre?"), ¿Cuál es el enfoque correcto cuando no puedo evitar usar esta cuenta?

    
pregunta Tobias Kienzler 28.01.2013 - 12:37
fuente

4 respuestas

21
Las "preguntas de seguridad" son solo una contraseña alternativa que no se usa a menudo, pero que, presumiblemente, no será olvidada por el usuario. Dado que es una información equivalente a una contraseña, trátela como tal: use contraseñas verdaderas de alta entropía como respuestas a preguntas de seguridad. Por supuesto, ya que no los ingresará a menudo, debe escribirlos en un papel, almacenados en un lugar seguro (están diseñados para ser usados como una copia de seguridad de la contraseña "verdadera"; no los necesita con frecuencia).

(Nota: la mayoría de los sistemas manejarán las respuestas a las preguntas de seguridad de una manera que no distinga mayúsculas y minúsculas, lo que disminuye la "entropía" de esa contraseña, por lo tanto, hágala aún más aleatoria. 15 letras al azar serían suficientes).

    
respondido por el Thomas Pornin 28.01.2013 - 13:40
fuente
5

Mi "solución" actual es ingresar una oración arbitraria, larga y sin sentido, que ni siquiera pretendo recordar y en su lugar, almacenar esa y mi contraseña en archivos KeePass (por separado), y tal vez quejarme con el webmaster sobre esto. De esa forma es poco probable que alguien más pueda responder la pregunta "segura" sin menos esfuerzo que intentar descifrar directamente mi contraseña, pero aún no estoy muy contento con esto ...

    
respondido por el Tobias Kienzler 28.01.2013 - 12:37
fuente
3

He visto a varias personas simplemente rellenar todo esto con basura, para garantizar que nadie pueda usarlos para diseñar ingenieros socialmente.

Significa que tendrá que tener mucho cuidado de no olvidar su nombre de usuario / contraseña, ya que es posible que no tenga una ruta de retroceso :-)

    
respondido por el Rory Alsop 28.01.2013 - 13:36
fuente
3

Piense en una lista de preguntas que considere buenas preguntas de seguridad para usted. Úsalos en los mejores sitios que te permitan formular tus propias preguntas de seguridad. Por ejemplo, el coche de Ben en HS ?. Para los sitios con las preguntas morónicas (por ejemplo, el apellido de soltera de la madre), asigne sus preguntas a sus preguntas. Por lo tanto, la respuesta al nombre de la Doncella de la Madre puede ser '1960' (ya que lo que recuerdo es lo antiguo que era el auto de Ben). Podría usar el mismo mapeo cada vez (es decir, el apellido de soltera siempre se correlaciona con 1960) o los mezcla y simplemente mantiene la "clave" (es decir, qué pregunta estúpida va con la pregunta real).

El problema con un secreto compartido es que no puede ser un secreto si es público. Lo que lo anterior le permite hacer es mover el 'secreto' a ser el mapeo de preguntas.

    
respondido por el Duncan 28.01.2013 - 13:51
fuente

Lea otras preguntas en las etiquetas

¿Cómo verificar que alguien es quien dice que está en línea? Detener grandes solicitudes a mi servidor (TOR)