¿Tener varias respuestas de 'información memorable' reduce la seguridad?

Navega tus respuestas
2

Utilizo un sitio web que además de requerir un nombre de usuario y contraseña también requiere "información memorable".

Al registrarme, proporcioné varias piezas de información memorable como respuestas a varias preguntas (por ejemplo, Lugar memorable, fecha, etc.)

Al iniciar sesión no me piden una información memorable específica (como se esperaba) sino cualquiera de ellos. Puedo iniciar sesión con la misma información cada vez sin saber cuáles son las otras respuestas.

¿Es esta una implementación deficiente o incorrecta de tener información memorable?

    
pregunta notnull 05.04.2016 - 20:17
fuente

2 respuestas

1

Estoy de acuerdo, eso parece tonto.

El consenso general es que hay tres tipos de mecanismos de autenticación:

  1. Algo que sabes (es decir, contraseña).
  2. Algo que tienes (es decir, aplicación de generación de código, acceso a una cuenta de correo electrónico, capacidad para recibir SMS, etc.).
  3. Algo que eres (es decir, escaneo de huellas dactilares o iris).

Realmente no hay razón para pedir más de una cosa de cada categoría. Los sistemas adecuados de autenticación de 2 factores ("2FA") siempre solicitarán dos cosas de diferentes categorías. Lo que has descrito (y de hecho todos los sistemas de "información memorable") son en realidad solo dos contraseñas ... Estoy de acuerdo en que esto parece un poco inútil.

    
respondido por el Mike Ounsworth 05.04.2016 - 20:23
fuente
-1

¿Tener varias respuestas de 'información memorable' reduce la seguridad?

Sí (ver advertencias). Las preguntas de seguridad no son un buen método para la seguridad. Hasta la fecha, el panorama de seguridad se ha movido mucho de los ataques de Enviar y Orar a tácticas de Ingeniería Social Dirigida y los atacantes están motivados a profundizar en la vida personal de las personas para obtener sus bienes.

¿Por qué?

En primer lugar, la implementación de las preguntas de seguridad a menudo se basa en el método para proteger la contraseña / nombres de usuario olvidados / perdidos. No es difícil ni complicado obtener respuestas de alguien, ya que las redes sociales son tan frecuentes y nuestra psicología es tal que preferimos otorgar a las personas el beneficio de la duda en lugar del intento malicioso.

En segundo lugar, (como desarrollador), muchos desarrolladores no entienden realmente el proceso de seguridad, los significados reales de Autenticación, Autorización e Identidad, ni entienden la diferencia entre la Autenticación multifactor (MFA) y la Autentificación de dos factores. (2FA). Las preguntas de seguridad intentan proporcionar MFA, pero los programadores promedio en realidad terminan proporcionando mecanismos para que los atacantes eviten todo lo que necesita una contraseña.

Caveats

Dado que trabajo en el sector bancario y en SI, en contra de mi opinión, señalaré que no es raro que los Bancos / Compañías utilicen una Pregunta de Seguridad para MFA en elementos como el inicio de sesión desde dispositivos o ubicaciones desconocidos y previene las tomas de alta de la sesión mediante su acoplamiento con imágenes preseleccionadas. Su intención no se basa en el restablecimiento de contraseñas, sino un verdadero razonamiento de MFA en que si conoce su nombre de usuario y sabe algo sobre usted (por ejemplo, el nombre de su primer perro) que la persona que intenta iniciar sesión desde una ubicación desconocida (desconocida para el banco) Mayor probabilidad de ser tú y deberías proceder. Hay más razonamiento detrás de esto, pero sí.

    
respondido por el Shane Andrie 05.04.2016 - 22:50
fuente

Lea otras preguntas en las etiquetas

Análisis del preprocesador de Snort Portscan Si borro los datos de navegación, ¿se eliminó la protección HSTS?