¿Cuál es el propósito de obligar a las personas a proporcionar “preguntas de seguridad” y respuestas?

Navega tus respuestas
8

Estoy reinstalando Windows 10.

Dang. Me obliga a proporcionar nada menos que TRES preguntas de seguridad. Tengo que elegirlos entre preguntas como, ¿Cómo se llamaba tu primera mascota y en qué ciudad naciste?

OK Windows podría hacer esto para convencerme de que use una cuenta en línea. Pero no es solo Windows. Hay muchos más ejemplos. El último ejemplo que no es de Windows fue el juego Realm of the Mad God. Y uno más, quizás el ejemplo más extraño: la cuenta de administración para mi ISP (esto incluye ver las facturas).

No veo el propósito de tales preguntas. Piden proporcionar información que, en el caso de la mayoría de las personas, sea fácilmente investigable. (Me gusta engañarme pensando que no está en mi caso, pero no apostaría ni un centavo en esto). Incluso si no lo es, las respuestas a tales preguntas son fácilmente forzadas por la fuerza bruta (¿Cuál era el apellido de su madre? Simplemente marque todos los apellidos más populares).

Soy un laico en términos de seguridad. Así que puedo estar equivocado. Pero para mi pequeño cerebro, proporcionar respuestas a estas preguntas (y por lo tanto: pedir a los usuarios que proporcionen tales respuestas) debilita enormemente la seguridad en lugar de fortalecerla.

Y vienen los problemas de los usuarios que olvidan la redacción de su respuesta original ... ¿Título de su pieza musical favorita? Muchos títulos se pueden afirmar de muchas maneras. O olvidando la respuesta real ... ¿Nombre de tu juguete favorito de la infancia? ¿Tenía uno? ¿O incluso, la pieza favorita de la música antes mencionada? Esto puede cambiar.

¿Esta práctica mejora la seguridad de alguna manera? Si no es así, ¿por qué hacen tantos sitios web, tantos productos, tantas compañías obligan a sus usuarios a responder estas preguntas?

    
pregunta gaazkam 11.05.2018 - 20:28
fuente

2 respuestas

1

Esencialmente correcto, no "aumentan la seguridad". Están allí (nominalmente) para aumentar la comodidad del usuario en caso de que sea necesario restablecer la contraseña, a un costo para la seguridad general.

Si olvida su contraseña, muchos mecanismos de restablecimiento de contraseña requieren que responda estas preguntas como una forma secundaria de demostrar que es usted. se trata de una retención de los días antes de que la mayoría de esta información estuviera fácilmente disponible y se suponga que es relativamente secreta.

Si está obligado a usar un sistema de este tipo, y le preocupa la seguridad, puede ingresar basura aleatoria que no sabrá y asumir la responsabilidad de que nunca podrá usar su función de restablecimiento de contraseña, pero tampoco lo hará un chico malo O ingrese alguna otra contraseña o token que recordará, pero no es la respuesta a la pregunta.

No use nada sensible para estos campos, ya que puede suponer que, a diferencia de las contraseñas, no estarán escritas y podrán ser visibles para los representantes del Servicio al Cliente que intenten verificarlo por teléfono.

Para obtener orientación sobre las mejores prácticas, el NIST declaró que las preguntas de seguridad no deben pedir a los usuarios información específica como "¿Cuál es el nombre de su mascota" en la publicación de la Guía de autenticación digital SP-800-63B (sección 5.1.1.2)?

enlace

    
respondido por el JesseM 11.05.2018 - 23:07
fuente
-3

El punto de las preguntas es que las personas a menudo escogen contraseñas deficientes que son fáciles de adivinar y proporcionan otra "contraseña" para mitigar esto. Un método mejor, como enviar un mensaje de texto a un número de teléfono, no siempre es posible, y significa que las personas deben tener su teléfono con ellos para iniciar sesión.

Como notó, esto no siempre se hace muy bien, y las respuestas a veces se pueden investigar, tienen un número muy pequeño de respuestas posibles (como cuál es su color favorito) o cambios (cuál es el nombre de su hijo más pequeño).

  

¿Esta práctica mejora la seguridad de alguna manera? Si no es así, ¿por qué hacen tantos sitios web, tantos productos, tantas compañías obligan a sus usuarios a responder estas preguntas?

Si se hace bien, puede proporcionar algún nivel adicional de seguridad. Si se hace mal, proporciona poco o ningún beneficio adicional.

    
respondido por el Steve Sether 11.05.2018 - 20:43
fuente

Lea otras preguntas en las etiquetas

¿Cuánta experiencia en seguridad necesita un programador general de aplicaciones para desarrollar software éticamente? [cerrado] Desafío de escape de inyección de SQL Security Shepherd