Digamos que una palabra secreta es decir, el nombre de tu primera mascota. El apellido de soltera de la madre también es común.
¿Cuándo tiene sentido desafiar al usuario con esto? O, ¿qué acciones deberían asegurarse con una palabra secreta?
Simplemente no estoy seguro de saber el valor de seguridad de un trabajo secreto, cuál es su valor intrínseco a través de una contraseña.
Personalmente, nunca usaría ninguna de esas preguntas para restablecer una contraseña. En realidad, está haciendo que su esquema de contraseña sea más vulnerable, ya que no es tan difícil encontrar preguntas secretas con respuestas fáciles de encontrar.
Bruce Schneier tuvo una excelente publicación en el blog titulada La maldición de las preguntas secretas sobre esto:
El punto de todas estas preguntas es el mismo: una contraseña de respaldo. Si olvidas tu contraseña, la pregunta secreta puede verificar tu identidad para que pueda elegir otra contraseña o hacer que el sitio envíe su correo electrónico contraseña actual para usted. Es una gran idea de un servicio al cliente. Perspectiva: es menos probable que un usuario olvide el nombre de su primera mascota. que una contraseña aleatoria, pero terrible para la seguridad. La respuesta a la pregunta secreta es mucho más fácil de adivinar que una buena contraseña, y La información es mucho más pública. Apuesto el nombre de mi familia. La primera mascota está en alguna base de datos en algún lugar. Y aún peor, todos Parece usar la misma serie de preguntas secretas. El resultado es el El protocolo de seguridad normal (contraseñas) vuelve a ser mucho menos seguro. protocolo (preguntas secretas). Y la seguridad de todo el sistema. sufre.
Lea otras preguntas en las etiquetas passwords authentication