¿Un análisis del almacenamiento de sugerencias para contraseñas?

Navega tus respuestas
8

¿Cuáles son las implicaciones de seguridad de pedir a los usuarios que proporcionen sugerencias de contraseña? ¿Cuáles son las mejores prácticas para almacenar sugerencias de usuarios? ¿Qué investigación se ha hecho sobre el uso de sugerencias de contraseña provistas por el usuario para guiar las aplicaciones de contraseñas de contraseñas?

Nota: parece que el asombroso error de Adobe con 130 M de contraseñas encriptadas de manera reversible, almacenadas junto con sus sugerencias, estimulará el campo ... Hat tip to XKCD para compartir las noticias, y el título atractivo "el mayor crucigrama en la historia del mundo": 1286: Encriptado - explica XKCD

ElnuevométodoGOTCHA:GenerarpruebaspanópticasdeTuringparainformaracomputadorasyhumanosapartehacequelasgrietasseanmásdifíciles,ytambiéntraeAIalcampo: Las contraseñas de Inkblot podrían ayudar a aumentar la seguridad en línea - UPI.com .

    
pregunta nealmcb 04.11.2013 - 16:50
fuente

2 respuestas

9

El impacto en el mundo real de las pistas sobre la seguridad es grande. La cuenta de Sarah Palin fue pirateada porque alguien descubrió su escuela secundaria.

Las sugerencias son esencialmente información pública. Se proporcionan a cualquier persona que no sea de confianza que haga clic en "Olvidé mi contraseña". Solo en ese contexto, cifrarlos no tiene mucho sentido. Pero Adobe demostró que almacenar sugerencias con contraseñas encriptadas proporciona una debilidad adicional.

En general, la seguridad aún tiene que reducirse al hashing adecuado de las contraseñas con sal. El almacenamiento de contraseñas es inseguro. Las contraseñas sin descifrar son inseguras. El BCE es inseguro. Ninguno de sus errores no era un conocimiento público común, y todos fallaron en seguir las mejores prácticas.

¿Recomendaría encriptar pistas? En su lugar, recomiendo que utilicen un proceso de restablecimiento de contraseña fuera de banda (a través de SMS o algún otro método) y omitan las sugerencias por completo.

    
respondido por el John Deters 04.11.2013 - 17:10
fuente
1

Discutimos dos implicaciones de seguridad (antes de optar por no tener una función de sugerencias de contraseña):

  • Debe evitar que el usuario sea demasiado específico en su sugerencia. (por ejemplo, "Mi número de teléfono residencial")

  • Tienes que protegerte de que el usuario ponga una parte de su contraseña en la pista en sí.

Problemas no relacionados con la seguridad que aún son relevantes para los procesos empresariales:

  • Los campos de registro adicionales reducen la conversión.

  • Una pequeña proporción de personas se quejará de la presencia de un campo de pista, incluso si es opcional.

Sería bueno tener algunos datos duros del mundo real. Entonces, si conoce a alguien a cargo de la administración de usuarios cuyo proceso de negocio involucre sugerencias de contraseña y restablecer preguntas, ¡apúntelos a este hilo!

    
respondido por el scuzzy-delta 04.11.2013 - 23:45
fuente

Lea otras preguntas en las etiquetas

Cómo encontrar contraseñas en la memoria (administradores de contraseñas) Firma de mensajes deshabilitada (peligroso, pero predeterminado)