¿Debo mostrar la respuesta de seguridad cuando el usuario vuelve a editar el campo?

Question

¿Debo mostrar la respuesta de seguridad cuando el usuario vuelve a editar el campo?

#1 de PwdRsch (1 votos)

1

Entonces, cuando un usuario se registra para crear una cuenta, debe seleccionar las preguntas seleccionadas e ingresar las respuestas de seguridad. Una vez que hacen eso, pueden pasar a una página de revisión que les muestra las preguntas de seguridad pero enmascara las respuestas (pongo la respuesta enmascarada en la página de revisión). Ahora tienen la oportunidad de editar su información antes de crear una cuenta.

Entonces, si el usuario decide volver y editar las preguntas y respuestas de seguridad, me pregunto si debo mostrar las respuestas del servidor al cliente en texto sin formato (el cliente desea que las respuestas se escriban como texto sin formato) o ¿Debo simplemente borrar todas las respuestas del campo (pero mantener la selección de preguntas) y hacer que el usuario escriba todas las respuestas nuevamente para continuar?

¿Cuál es el mejor enfoque desde un punto de vista de seguridad?

En este momento, estaría haciendo hash y agregaría un salt a las respuestas de seguridad que se guardarán como tales en la base de datos.

passwords authentication websites

pregunta Kala J 19.06.2015 - 18:04

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords authentication websites

¿Se pueden usar Hydra y Crunch en combinación para HTTP-get-form? [cerrado] Cómo verificar si la aplicación de Android es vulnerable al corazón

score 1 · Answer 1

Suponiendo que todo esto se hace durante el proceso de inscripción, como parece que es, no hay mucho riesgo asociado con la visualización de las respuestas de texto sin formato para el usuario. Es bastante improbable que un atacante pueda secuestrar la sesión de un usuario a mitad de la inscripción para ver las respuestas a las preguntas de seguridad.

Sin embargo, no parece que sea un gran inconveniente para el usuario si usted borra esas respuestas. Supongo que un pequeño porcentaje de personas podría volver a editarlas para asegurarse de que registraron la respuesta que pensaron que hicieron hace unos momentos, pero también podrían volver a escribir la respuesta que querían. Por lo tanto, si te hace sentir mejor si los eliminas, probablemente no haya mucha frustración del usuario asociada con esa práctica.

Si un usuario puede iniciar sesión en la aplicación en un momento posterior y editar las respuestas de las preguntas de seguridad, mi consejo sería no mostrar las respuestas actuales, ya que es más probable que un atacante pueda secuestrar una sesión normal (o buscar un usuario registrado). navegador) y copiar las respuestas.

Parece que su plan para analizar las respuestas haría que la funcionalidad fuera imposible en su aplicación de todos modos. Esa práctica, por cierto, es probable que le cause algunos problemas de usabilidad, ya que es posible que las personas no escriban su respuesta de seguridad exactamente de la misma manera durante la inscripción y luego durante el uso. Algunas implementaciones de preguntas de seguridad cifran las respuestas en su lugar para que puedan hacer comparaciones más flexibles (por ejemplo, no distingan entre mayúsculas y minúsculas, ignoran los espacios finales, etc.) y sean más fáciles de usar. Eso es un poco menos seguro, pero es una compensación que algunas personas están dispuestas a hacer.