¿Por qué un sitio web permitiría que las respuestas a las preguntas de seguridad se usaran indistintamente?

Navega tus respuestas
8

Necesitaba restablecer mi contraseña en un sitio web que usa preguntas de seguridad para ese propósito, y noté algo extraño. Mis hipotéticas preguntas de seguridad son (no las que realmente uso) son:

  1. ¿Cuál es tu nombre? John
  2. ¿Dónde vives? Chicago

Para restablecer, se me pide que responda ambas preguntas; sin embargo, no importa qué respuesta use para cada pregunta, siempre que la respuesta que use sea correcta para al menos una pregunta. Todas estas combinaciones funcionan:

  

John / Chicago, Chicago / John, John / John, Chicago / Chicago

Si cualquiera de los campos es una respuesta incorrecta a cualquiera de las preguntas, la página devuelve un error, por lo que

  

John / -incorrect-, -incorrect- / John, Chicago / -incorrect-, -incorrect- / Chicago

todos fallan.

Este debe ser un error, ¿verdad? Parece una "característica de conveniencia" casi deliberada que en realidad reduce drásticamente la ya limitada eficacia de las preguntas de seguridad.

    
pregunta John Bensin 02.05.2013 - 21:20
fuente

3 respuestas

9

En resumen, alguien extravió un OR donde debería estar un AND . De hecho un gran contratiempo por parte del desarrollador. Sus suposiciones acerca de su seguridad son correctas.

    
respondido por el TildalWave 02.05.2013 - 22:02
fuente
6

Sí, lo que usted describe parece un error. Independientemente del presunto valor de seguridad de las "preguntas de seguridad" o de la falta de ellas, no hay forma de que "John" pueda considerarse una respuesta válida a "Dónde vive". Es incluso más que un error: es una vulnerabilidad (en primer lugar, incluso más grande que simplemente usar "preguntas de seguridad"). De hecho, en su ejemplo, alguien con 5 preguntas, una de las cuales es "cuál es su nombre", puede responder a "John" a las cinco y se le otorgará acceso, por lo que un atacante ni siquiera tiene que adivinar las respuestas a todas las preguntas, solo a uno de ellos.

No creo que sea una característica de conveniencia deliberada; Se necesitaría una mente verdaderamente distorsionada para llegar a ese diseño. Un error genuino parece más plausible.

    
respondido por el Tom Leek 02.05.2013 - 21:53
fuente
5

Las preguntas de seguridad son malas, las preguntas de seguridad que preguntan por su nombre y el lugar donde vive son aún peores. El hecho de que pueda usar cualquiera de las respuestas para una pregunta no es un error, es una codificación deficiente.

Los restablecimientos de contraseñas mediante el uso de preguntas de seguridad son incorrectos si no se usan en combinación con otra cosa. Por ejemplo, si te hacen preguntas, pero cosas que solo puedes saber (no puedo encontrar buenas preguntas en este momento, pero probablemente algo a lo largo del año de tu primer amor) y después de que contestes estas preguntas por un tiempo limitado El token (enlace) se genera y se envía a su dirección de correo electrónico, que permanece válida durante 15 minutos. Después de hacer clic en ese enlace, se envía un mensaje de texto a su teléfono con un código y debe ingresar el código en la página. Si el código es correcto, entonces puede modificar su contraseña.

    
respondido por el Lucas Kauffman 02.05.2013 - 21:30
fuente

Lea otras preguntas en las etiquetas

Contraseña segura vs. restricción en el número de intentos Propósito de la validación nonce en el flujo implícito de OpenID Connect