¿Por qué las “preguntas de seguridad” no son un agujero de seguridad importante para cualquier aplicación que las use?

2

Entonces, el modelo de seguridad original era pedirle al usuario una dirección de correo electrónico, en el momento de la creación de la cuenta, y si olvidara su contraseña, el sistema enviaría una nueva contraseña a esta dirección de correo electrónico.

La idea ahora, sin embargo, parece ser utilizar más las preguntas de seguridad. Entonces, si olvido mi contraseña, el sitio web me pregunta "¿Cuál es el nombre de su mascota?", Escribo "chuck" y luego el sitio web me pide que proporcione una nueva contraseña y me deja entrar.

El modelo de preguntas de seguridad me parece mucho menos seguro, ya que un ataque de diccionario podría ser más efectivo contra él.

¿Por qué estamos "bien" con preguntas de seguridad, ya que esto parece pasar por alto nuestro requisito de contraseñas seguras?

    
pregunta user7560542 28.09.2018 - 17:28
fuente

3 respuestas

1

El restablecimiento de la contraseña del correo electrónico tampoco es particularmente seguro, ya que significa que si logra comprometer la cuenta de correo electrónico de alguien, puede hacerse cargo de todos de sus otras cuentas en línea. Al menos con preguntas de seguridad bien elegidas (que no incluirían el nombre de una mascota) es poco probable que el usuario las use en otro sitio web, por lo que el compromiso está restringido a esa cuenta. La verdad es que la seguridad es un compromiso con la conveniencia, y no hay manera de autenticar a los usuarios que sea razonablemente segura y conveniente, por lo que debe decidir cuál es más importante.

    
respondido por el Mike Scott 28.09.2018 - 17:37
fuente
0

Ambos métodos tienen ventajas y desventajas en términos de seguridad y probabilidad de incumplimiento.

La mejor manera podría ser usarlo en combinación, cuando restablece la contraseña, se le pedirá una pregunta de seguridad y una dirección de correo electrónico.

    
respondido por el Sayan 29.09.2018 - 04:03
fuente
0

Ambos modelos tienen fallas, el correo electrónico es definitivamente el más.

¿Habla sobre enviar al usuario una nueva contraseña por correo electrónico? El correo electrónico es de texto simple y no está encriptado, por lo que se puede rastrear a través de las redes. ¿Cómo estás generando esa contraseña segura para enviarlos? Espero que sea un CSPRNG.

¿Está obligando al usuario a cambiar la contraseña después de que vuelva a iniciar sesión? De lo contrario, eso es otro ... Prácticamente estaría usando el correo electrónico como falso almacenamiento "seguro". Los futuros compromisos de correo electrónico significan que su cuenta también está comprometida.

Por otro lado, las preguntas de seguridad varían, hay algunas preguntas realmente malas que nunca deben hacerse, pero también hay algunas buenas que son "bastante" sólidas. Sin mencionar, estos formularios deben tener una tasa limitada para evitar la fuerza bruta que mencionó.

I.e. "¿Cómo se llama tu mascota?" vs "¿Cuál es el apellido del maestro que te dio tu primera calificación reprobatoria?"

Consulte: enlace

    
respondido por el Exhibitioner 29.09.2018 - 19:20
fuente

Lea otras preguntas en las etiquetas