Estaba leyendo la OWASP Forgot Password Cheat Sheet cuando me topé con la recomendación de usar preguntas de seguridad.
¿Es realmente una buena idea implementar preguntas de seguridad?
Estaba leyendo la OWASP Forgot Password Cheat Sheet cuando me topé con la recomendación de usar preguntas de seguridad.
¿Es realmente una buena idea implementar preguntas de seguridad?
Específicamente con respecto a las preguntas de seguridad, le está pidiendo a los usuarios que compartan datos potencialmente sensibles sobre sí mismos que probablemente puedan obtenerse con la ingeniería social de las personas cercanas a ellos. Eso hace que las preguntas de seguridad sean, en el mejor de los casos, desaconsejables y, en el peor de los casos, peligrosas desde una perspectiva holística de seguridad.
OWASP, aunque en general es bueno para explicar los problemas, hace muchas recomendaciones no recomendables que incluyen preguntas de seguridad, listas blancas de entrada y mitigaciones XXE que impiden cargar la mayoría de los documentos XML. Tome las descripciones de los problemas tal como son, pero realmente analice sus soluciones antes de considerar implementarlas.
Lea otras preguntas en las etiquetas passwords password-management authentication secret-questions owasp