¿Las respuestas a las preguntas de seguridad deben distinguir entre mayúsculas y minúsculas?

Navega tus respuestas
15

Pregunta
En el caso de que se utilicen preguntas de seguridad para restablecer la contraseña de una cuenta, ¿qué se considera la mejor práctica para manejar la distinción entre mayúsculas y minúsculas en las respuestas a las preguntas de seguridad?

Escenario
Un proceso de restablecimiento de la contraseña de la cuenta en el que estoy trabajando funciona en tres pasos. El primer paso le pide al usuario que proporcione tres datos de información identificable, incluido su nombre de usuario, fecha de nacimiento y número de identificación. Una vez que han pasado la verificación, se les hacen sus preguntas de seguridad (que configuraron previamente). Si han pasado esa verificación, configuran una nueva contraseña.

Entonces, ¿deberíamos exigir distinción de mayúsculas y minúsculas en la pregunta de seguridad? Alguna discusión interna nos apunta hacia la dirección del "no". Una justificación que hemos encontrado es, digamos que usamos la misma pregunta de seguridad si el usuario nos llamó como una verificación para verificar su identidad. Si la respuesta es correcta, la respuesta es correcta. No están explicando verbalmente el caso de la respuesta. Entonces, ¿deberíamos hacerlo en un formulario web?

Parece que no puedo encontrar un "estándar de la industria" o una "mejor práctica", por lo que espero recibir comentarios de personas con experiencia en esta práctica o de expertos en asuntos de seguridad.

    
pregunta Michael Irigoyen 01.06.2011 - 17:27
fuente

3 respuestas

16

Las "respuestas de preguntas de seguridad" son similares a las contraseñas auxiliares, que los usuarios no utilizarán a diario. Recordar una contraseña que casi nunca escribes es difícil. Es probable que el requerimiento de un caso exacto haga que el usuario no responda correctamente.

Desde un punto de vista teórico, una "pregunta de seguridad" ya es una gran debilidad, que usted tolera porque algunos usuarios olvidarán su contraseña, y usted desea manejar ese caso con tanta automatización. como sea posible, y no hacer ninguna pregunta de seguridad sería aún peor en cuanto a seguridad. Por lo tanto, el valor agregado de las preguntas de seguridad es que permiten un proceso de restablecimiento de contraseña no totalmente abierto que, sin embargo, se puede realizar automáticamente, es decir, a un costo mínimo para el servidor. La sensibilidad del caso probablemente eliminaría gran parte de ese valor. De hecho, incluso recomendaría la normalización suprimiendo los espacios en blanco, la puntuación y los acentos.

    
respondido por el Thomas Pornin 02.06.2011 - 01:33
fuente
1

Las preguntas de seguridad son básicamente otra contraseña. Por lo tanto, idealmente debería tener las mismas propiedades que una contraseña, es decir, una longitud razonable (más de 8 caracteres) siendo las más importantes para defenderse contra las suposiciones y la fuerza bruta.

Este estudio de investigación se publicó aquí en una pregunta anterior: Sus conclusiones son que la complejidad no es tan importante contra una entrada en línea. Por lo tanto, si comprueba las palabras básicas del diccionario, el nombre de usuario, etc., tiene la longitud suficiente e implementa un bloqueo de cuenta o un retroceso exponencial, no hay un beneficio significativo en la exigencia de complejidad.

Por supuesto, lo mejor sería eliminar las preguntas secretas y agregar un método de restablecimiento de contraseña fuera de banda, como la contraseña única de SMS o incluso la contraseña / enlace de correo electrónico una vez. O deje de administrar las contraseñas por completo y admita un método de autenticación basado en OAuth (por ejemplo, Facebook connect) o Open-ID (Google, etc.).

    
respondido por el Rakkhi 01.06.2011 - 17:53
fuente
0

Como se indicó en ambas respuestas anteriores, las "preguntas de seguridad" son solo contraseñas y disfraces, y deben tratarse como tales. No configuramos sus contraseñas en algunos valores fáciles de adivinar o disponibles públicamente, así que ¿por qué lo hacemos con preguntas de seguridad? Está pidiendo problemas y, personalmente, conozco a personas que se metieron en problemas de esta manera.

Siempre doy respuestas completamente hechas a las preguntas de seguridad y luego las trato de la misma manera que las contraseñas reales, es decir, uso un software de administración de contraseñas. En serio, recomiendo a todos hacer lo mismo.

    
respondido por el Kotixa Kotixa 15.01.2013 - 04:27
fuente

Lea otras preguntas en las etiquetas

conexión de escritorio remoto a una máquina potencialmente comprometida ¿Debería considerarse comprometido un servidor simplemente porque el puerto estaba abierto?