¿Cuándo configurar preguntas de seguridad para una aplicación web?

Navega tus respuestas
0

Para mayor seguridad, podemos usar preguntas de seguridad y usarlas como un medio para que los usuarios restablezcan las contraseñas olvidadas o como un medio adicional para la autenticación.

¿Cuándo sería el momento adecuado para pedirle al usuario que seleccione las preguntas y configure las respuestas?

1- en el momento en que un nuevo usuario crea una nueva cuenta con la aplicación web (ingrese nombre de usuario, contraseña y responda a las preguntas de seguridad)?

¿2 o al iniciar sesión por primera vez (después de confirmar que el correo electrónico es válido)?

¿Hay algún factor de seguridad y experiencia de usuario para utilizar una de estas opciones?

    
pregunta Goli E 29.01.2015 - 18:53
fuente

3 respuestas

1

No hay respuesta correcta.

Aunque odio las preguntas de seguridad. Nunca los recuerdes. Por lo general, llenarlos con cosas al azar. Si necesito recuperar el sitio, llamaré a la compañía o presentaré un ticket de soporte de todos modos.

No proporcionó suficiente información para comprender realmente la situación, por lo que aquí hay algunas opciones. 

Option 1
 1. creates account
 2. confirms email
 3. answers sec questions
 4. Uses site

Option 2
 1. creates account
 2. answers sec questions
 3. confirms email
 4. uses site

Las opciones 1 y 2 son iguales. Se requieren ambas preguntas y confirmación antes de que el usuario pueda hacer algo. 

Option 3
 1. creates account
 2. Uses site
 3. Tries to do something (save data, print, email, etc)
 4. Forced to confirm email
 5. Forced to answers security questions

Me gusta la opción 3 si tu sitio lo admite. El usuario puede usar el sitio, pero usted los bloquea de cualquier funcionalidad real hasta que confirme su correo electrónico. Le da al usuario la oportunidad de evaluar el sitio antes de dedicar tiempo adicional. 

Option 4
1. Creates account
2. Confirms email
3. Uses site
4. Next Login, asked security questions

La opción 4 es cómo gmail se acerca a las funciones de seguridad adicionales. El presente al usuario con una opción para ingresar números de teléfono y otros elementos de recuperación. Por supuesto, no hacen preguntas de seguridad. Ellos usan los teléfonos. Lo que supone una carga mucho menor para el usuario.

    
respondido por el Jonathan 29.01.2015 - 19:30
fuente
0
  

"Para mayor seguridad, podemos usar preguntas de seguridad y usarlas como   un medio para que los usuarios restablecer contraseñas olvidadas o como un adicional   medios para la autenticación ".

Por lo tanto, sigue confiando en la autenticación de un factor, algo que el usuario sabe y por lo tanto está ganando poco en términos de seguridad. Lo que desea hacer es implementar algo en el que el usuario reciba un mensaje de texto o algún tipo de token enviado a un dispositivo que controle.

Sin embargo, para responder a la pregunta que formuló desde una experiencia de UX pura, nunca les pida que proporcionen un conjunto de preguntas de seguridad a menos que el usuario explícitamente solicite que su cuenta sea recuperable. Esto se puede manejar permitiendo a un usuario editar su perfil y marcar una casilla de verificación que dice "Me gustaría recuperar mi cuenta". Este proceso generaría un modo que les genera preguntas de seguridad en caso de que pierdan su contraseña.

    
respondido por el Woot4Moo 29.01.2015 - 19:04
fuente
0

Tiende a querer agregar otra capa de desafío cuando cambian las condiciones de inicio de sesión:

  • recuperar la contraseña (como mencionaste)
  • primer inicio de sesión (como usted mencionó)
  • iniciar sesión desde una nueva ubicación
  • después de X intentos fallidos de inicio de sesión
  • etc.
respondido por el schroeder 29.01.2015 - 19:39
fuente

Lea otras preguntas en las etiquetas

¿Cómo es seguro PayPass / payWave cuando se requiere PIN después de presentar la tarjeta al terminal sin contacto? JKS se puede leer sin proporcionar una contraseña