¿Hacer preguntas al azar de un conjunto de preguntas en lugar de una contraseña?

Navega tus respuestas
1

Estuve pensando en esto por un tiempo. Supongamos que tenemos una aplicación para la que hay una consola de administración, y necesitamos proporcionar acceso a la consola de administración a través del navegador (sí, HTTPS).

Para la autenticación, en lugar de solicitar una contraseña, ¿sería más seguro lo siguiente?

  1. Prepare un conjunto de preguntas poco comunes de muy amplio alcance para las respuestas que difícilmente conocerían sus amigos o familiares. Y al menos es seguro asumir que ninguna persona sabría la respuesta a todas esas preguntas por completo. Estas preguntas pueden ser cosas como cosas menores que suceden en tu vida, y no importan lo suficiente como para contárselo a alguien.
  2. Almacene las respuestas a estas preguntas en forma normalizada. Así que recorte espacios en blanco, elimine la puntuación, etc., y péguelas en sal al igual que lo hace con las contraseñas.
  3. Al iniciar sesión, haga estas preguntas en orden aleatorio (y haga solo una parte de las preguntas, para que el conjunto sea diferente la próxima vez que el hacker intente iniciar sesión). Al final, verifique todas las respuestas juntas y, si son válidas, inicie sesión en el usuario.

Me pregunto si esto será más seguro que los métodos actuales. Si no es así, ¿hay algo que me esté perdiendo?

    
pregunta Rob 01.03.2015 - 12:47
fuente

2 respuestas

4

Algunos problemas con esto:

  • La inscripción llevaría mucho tiempo. Eso sería un impedimento importante para muchos sitios web.
  • Privacidad, obtienes mucha información sobre alguien y si no es algo que todos saben, obviamente es personal. Una cosa es que si tu tabla de contraseñas termina en las calles, otra es cuando puedo descubrir todo tipo de datos sobre la vida personal de alguien. Lo que me lleva al siguiente punto.
  • Reutilización. Para las contraseñas, al menos tiene la opción de usar una diferente, pero las respuestas a las preguntas no cambiarán para el siguiente sitio. Si más sitios web hicieran esto y solo uno fuera pirateado, ¿qué impide que alguien inicie sesión de izquierda a derecha? O incluso administradores malintencionados que miran las respuestas, ya sea antes del hash o después de algún tipo de ataque de fuerza bruta.
respondido por el Sebastiaan van den Broek 01.03.2015 - 15:52
fuente
4

Bueno, tengo que decir que esto es menos seguro que una contraseña estándar, aunque una mirada inicial muestra que la entropía será mucho mayor

  1. Estás limitando las respuestas a "palabras del diccionario" y, con mayor frecuencia, un pequeño subconjunto de ellas (por ejemplo, cuál fue tu alimento favorito para la infancia tendría menos de 20,000 opciones posibles y diría que el chocolate o el helado alcanzarán el 90%). )
  2. Esto está abierto a la ingeniería social (si le pides a alguien su contraseña, dirán que no, si le preguntas a alguien de quien se enamoraron primero responderán)
  3. Las respuestas probablemente se pueden eliminar de las redes sociales (por ejemplo, una publicación de Facebook con una foto de tu primer perro)
  4. Habrá muchos errores humanos en la entrada en caso de que las preguntas sean demasiado específicas (por ejemplo, con quién habló a primera hora de la mañana del 7 de enero de 2013)
  5. El almacenamiento de dichos elementos será complicado porque tendrá que ser insensible a mayúsculas y minúsculas y es una idea terrible simplemente almacenar esto en texto sin formato o algo que obviamente se pueda descifrar)
  6. Está rompiendo las percepciones de seguridad de los usuarios (me sentiría incómodo si me pidieran un conjunto de datos personales y no tuviera una opción para una contraseña alfanumérica de 27 caracteres)
    1. ¿Cómo demonios reajustas algo como esto? (en el caso de que las preguntas sean demasiado difíciles de recordar y el usuario quiera restablecer su token de autenticación)
respondido por el Damian Nikodem 02.03.2015 - 08:52
fuente

Lea otras preguntas en las etiquetas

¿Qué tipo de ataque es este? Cómo verificar si un software es legítimo