¿Es una buena práctica, o está obsoleta? Lo pregunto porque nunca he logrado recordar una sola pregunta de seguridad, por lo que siempre escribo las respuestas. Creo que son inútiles, las contraseñas largas o 2FA son una práctica mucho mejor.
¿Es una buena práctica, o está obsoleta? Lo pregunto porque nunca he logrado recordar una sola pregunta de seguridad, por lo que siempre escribo las respuestas. Creo que son inútiles, las contraseñas largas o 2FA son una práctica mucho mejor.
Para que una pregunta de seguridad sea buena, debe:
El problema es que cuanto mayor sea tu puntaje en el # 1, menor será tu puntaje en el # 2. Así que tienes que caminar una cuerda apretada aquí. Si te inclinas demasiado hacia el # 1, los usuarios olvidarán la respuesta y bloquearán sus cuentas. Si te inclinas demasiado hacia el # 2, cualquiera puede adivinar la respuesta y la pregunta se vuelve esencialmente inútil.
Probablemente no haya un punto dulce aquí. Entonces, ¿deberíamos simplemente deshacernos de todo el concepto?
Bueno, depende.
Las preguntas de seguridad se pueden utilizar de muchas maneras.
Comencemos con una manera muy mala de usarlos, como la única protección para la recuperación de la cuenta y el restablecimiento de la contraseña. La respuesta a la pregunta básicamente se convierte en una segunda contraseña que es más fácil de descifrar y adivinar que la primera. Eso es espectacularmente malo. Si no me crees, pregunta Sarah Palin .
Ese patrón de uso es probablemente lo que le ha dado a las preguntas de seguridad su nombre incorrecto. Pero, ¿existe realmente algún otro caso de uso legítimo para ellos? Tal vez. ¿Qué tal esto:
En ambos casos, un atacante determinado podría encontrar las respuestas correctas. Pero no todos los atacantes están determinados. Una simple pregunta de seguridad podría hacer que los ataques automatizados a gran escala después de grandes violaciones de datos sean poco prácticos. Si tengo un millón de contraseñas del sitio A, no puedo probarlas en el sitio B si B también requiere una pregunta de seguridad. O si no cumplo con un proveedor de correo electrónico, no puedo enviar un millón de enlaces de restablecimiento de contraseña de todo tipo de sitios, porque no sé la respuesta a las preguntas de seguridad.
La parte trasera aquí es la contradicción discutida anteriormente: cuanto menos obvia sea la respuesta a la pregunta de seguridad, es más probable que los usuarios bloqueen su cuenta por error. Hay mejores soluciones aquí, como 2FA reales o códigos de recuperación de cuenta. Pero implementar 2FA puede ser difícil, y también lo es lograr que los usuarios impriman y almacenen esos molestos códigos de recuperación. Entonces, a veces, por razones pragmáticas, una pregunta de seguridad puede ser un buen compromiso.
Ese es el mejor caso que puedo hacer por ellos. No estoy seguro de si es un caso lo suficientemente bueno como para usarlos.
En una sorprendente cantidad de aplicaciones, una pregunta de contraseña + seguridad se considera autenticación de 2 factores. La idea es que es algo que usted sabe, mientras que se espera que una contraseña sea algo que recordará (también escribo las contraseñas, ¡pero en una base de datos debidamente encriptada!).
Sí, hay soluciones mucho mejores, pero los desarrolladores web del mundo no están esperando para escribir el mecanismo de autenticación perfecto para ser utilizado por los lectores de este sitio web. Hay muchas formas de complementar (o mejorar) la autenticación de contraseña, pero necesitan algo que no moleste a sus usuarios, que esté disponible para todos los usuarios, lo que no cuesta demasiado, lo que no abarca los límites jurisdiccionales, que pueden entender, y sienten que tienen cierto control sobre ...
Como puede ver en otras respuestas sobre el mismo tema (buscar "pregunta de seguridad" aquí contiene varias preguntas relacionadas), preguntas de seguridad tradicionales como "¿Cuál es el apellido de soltera de su madre?" Ahora se consideran muy malas prácticas.
Algunos sitios web, en lugar de las preguntas de seguridad tradicionales, le pedirán su número de teléfono o una dirección de correo electrónico alternativa. También pueden recordarle regularmente que verifique si la información de su perfil está actualizada, para asegurarse de que todavía usa el correo electrónico asociado con su cuenta, etc. Otra forma de verificar su identidad es hacer preguntas sobre cómo ha sido estado utilizando el servicio, qué datos privados está almacenando el servicio sobre usted, etc. No estoy seguro de todas las cosas que Google realmente puede preguntarle, pero estoy bastante seguro de que pueden preguntarle la fecha aproximada en que creó su cuenta , o el nombre de la ciudad donde usualmente inicias sesión.
Todavía creo que las preguntas de seguridad a veces pueden ser útiles como información adicional, siempre que los usuarios escriban sus propias preguntas, tal vez junto con un clear y enorme advertencia que dice que no deben elegir preguntas que puedan ser respondidas fácilmente por cualquier otra persona. Pero esas preguntas de seguridad no deberían ser una manera fácil de omitir el inicio de sesión de contraseña de todos modos. Solo deben usarse como una manera excepcional para ayudar a probar la identidad del usuario, y el proceso no debe ser automatizado (un proceso no automatizado puede implicar una llamada telefónica, por ejemplo).
Es mejor que no segundo factor, pero las normas 2FA actuales recomiendan
Muchos bancos utilizan preguntas de seguridad o reconocimiento de imagen porque se piensa que brindan una protección anti-phishing, donde una vez que esté acostumbrado a ver su imagen / responder a su pregunta de seguridad, usted se dará cuenta. su ausencia.
Por supuesto, esto se puede eliminar si el sitio de phishing reenvía el nombre de usuario que ingresó, recupera la pregunta / imagen y se la muestra, pero eso va más allá de lo que la mayoría de las campañas de phishing harán.
tl; dr Las preguntas de seguridad no son buenas si se usan como verificación de cliente , pero pueden ser útiles como verificación de servidor , para que pueda estar razonablemente seguro de que El sitio en el que está ingresando es el sitio real.
Esto no se aplica si el sitio hace que selecciones la pregunta de seguridad cada vez, pero eso no es lo que hacen los bancos que he visto usando SQ.
Lea otras preguntas en las etiquetas account-security secret-questions