¿Qué tan seguro es este método para recordar preguntas de seguridad?

5

Encontré un método interesante para recordar esas molestas preguntas de seguridad. Básicamente, el tipo toma un hash de la pregunta (es decir, ¿cuál es el apellido de soltera de su madre?) Y luego agrega su propia contraseña (supongo que es único para cada hash).

Afirma que esta es una excelente manera de saber siempre la respuesta a sus preguntas de seguridad sin ser realmente sincero (algunas de esas preguntas podrían ser bastante reveladoras) o saber de antemano qué orden se les pedirá.

Por ejemplo:

  

P: ¿Cuál es el apellido de soltera de tu madre?

     

A: dc6bae2bdc569b1ef118bf6a497c65a0e70fadaa653bfadabffe5519708fb538password

  • donde 'contraseña' es en realidad aleatoria y segura (presumiblemente almacenada en una bóveda de contraseñas y específica para cada hash de preguntas).

En lugar de:

  

P: ¿Cuál es el apellido de soltera de tu madre?

     

A: mami

¿Este método es realmente seguro o solo una pérdida de tiempo?

Mi pregunta para él (y ustedes) fue ¿por qué molestarse con el hachís? ¿Por qué no solo mantener una lista segura de preguntas / contraseñas?

    
pregunta Matthew Peters 29.08.2014 - 22:06
fuente

3 respuestas

8

En general, no me gustan las preguntas de seguridad en general; Por lo general, piden información que sea más o menos pública. ¿Nombre de soltera de la madre? Ancestry.com te dirá eso. ¿Tu escuela secundaria? Facebook, LinkedIn, cualquiera de una serie de sitios de redes sociales que usan la información para sugerir que los amigos potenciales no solo la tendrán, sino que la publicarán si no tienes cuidado con la configuración de tu perfil.

En este caso, su fuente está de acuerdo, y en lugar de proporcionar la respuesta real, es simplemente hacer de este esquema una contraseña alternativa. Si las contraseñas que usa son aleatorias, fuertes y únicas, eso debería ser todo lo que se necesita. Si está usando una contraseña común, el hash de la pregunta es la seguridad a través de la oscuridad; Una vez que el atacante conoce el hecho de que se utiliza un hash y el método para generarlo, se rompe.

De cualquier manera, no es una pérdida total de tiempo, pero el simple hecho de que la forma de hacer algo sea un secreto fuera del mundo digital no se puede confiar en la seguridad dentro de él. En el caso de este tipo, no es un secreto que use este método, por lo que ya no puede contar con él para protegerlo y es una pérdida de tiempo en su propio caso. La práctica de usar una contraseña alternativa como respuesta a una pregunta de seguridad (no relacionada con la respuesta real del mundo real a la pregunta) es relativamente segura por sí sola, siempre que tanto el usuario como el sitio web tenga el mismo cuidado de proteger la confidencialidad de las respuestas de seguridad como la propia contraseña.

    
respondido por el KeithS 29.08.2014 - 22:22
fuente
5

Estoy de acuerdo con las otras respuestas en que las "preguntas de seguridad" realmente no hacen mucho bien. La teoría detrás de ellos es que solo usted sabrá las respuestas a esas preguntas y se utilizarán para volver a ingresar a su cuenta en caso de que haya olvidado su contraseña. Desafortunadamente, las respuestas a la mayoría de las preguntas de seguridad se pueden encontrar en línea si el atacante sabe dónde encontrarlas (por ejemplo, Facebook, LinkedIn, etc.), o si están realmente determinadas, pueden ser personalizadas por usted o las personas que conoce.

Además, he encontrado que las respuestas a las preguntas de seguridad probablemente no se almacenan de una manera "segura", ya que cuando solicite asistencia con la cuenta, el representante puede pedirle que se verifique al responder sus preguntas. No sabrían la respuesta a menos que esté disponible para ellos en texto simple. Por lo tanto, no los consideraría respuestas seguras.

Teniendo en cuenta esto, diría que el método de su amigo para recordar sus respuestas hace más daño que beneficio, ya que en realidad es almacenar la contraseña en texto plano o en un formato cifrado reversible, ninguno de los cuales es bueno para la seguridad. Además, cualquiera puede hacer un hash de la pregunta, siempre y cuando sepan qué algoritmo de hash se utilizó, por lo que realmente no se agrega a la seguridad del sistema.

Si un sitio requiere que envíe respuestas a preguntas de seguridad, generalmente proporciono respuestas sin sentido que no pueden relacionarse con la pregunta.

  

P: ¿En qué ciudad conociste a tu cónyuge?
  A: Bananas

Luego, registro todos mis pares de preguntas / respuestas en mi administrador de contraseñas, por lo que puedo dar la respuesta correcta cuando sea desafiado. Hago esto en lugar de usar cadenas aleatorias, debido a la necesidad mencionada anteriormente de conversar con los representantes de soporte ocasionalmente (como en un banco pidiéndole que verifique su identidad). Considero que esta es la mejor manera de cumplir con sus necesidades de seguridad, pero también mantener mi cuenta segura.

    
respondido por el Craine 30.08.2014 - 20:34
fuente
1

La pregunta de seguridad es en realidad un nombre inapropiado, ya que realmente no mejora la seguridad de una cuenta, sino que es más como tener una puerta trasera en la casa. No tiene una llave (contraseña) para la puerta principal, no hay problema, ingrese desde la parte posterior si conoce el número para abrir la cerradura de combinación.

Dicho esto, el método que propusiste es similar a requerir la misma llave para la puerta trasera también. Existe un problema, ya que podría estar exponiendo su contraseña que no está hasheada, sino que se adjunta directamente al final de la respuesta de seguridad. Un cracker que de alguna manera se las arregla para obtener acceso a la base de datos puede obtener su contraseña en texto simple.

Además, hacer algo así es bastante redundante, ya que una vez que ha olvidado su contraseña, pierde efectivamente su segundo acceso a la cuenta al responder la pregunta de seguridad. Si no desea una puerta trasera en su cuenta, simplemente escriba una cadena aleatoria y no se moleste en guardarla o recordarla:

  

P: ¿Cuál es el apellido de soltera de tu madre?

     

A: dsfjot4-5bl; f; js gge [rti [5iyj [hglk, l; dfqkportgijrb1

La autenticación de correo electrónico sería una opción mucho mejor para restablecer una contraseña perdida para una cuenta que se registra con una dirección de correo electrónico.

    
respondido por el Question Overflow 30.08.2014 - 04:33
fuente

Lea otras preguntas en las etiquetas