Dados los procedimientos de restablecimiento de una cuenta, generalmente hay algunas preguntas de recuperación, y en mejores implementaciones se enviará un enlace para confirmar el cambio de contraseña por correo electrónico o SMS. Por lo tanto, el atacante necesita información y acceso para utilizar el mecanismo de restablecimiento de contraseña para una toma de control de la cuenta.
Estos controles suelen ser muy útiles contra un atacante aleatorio en Internet, pero quiero centrarme en cuando un miembro de la familia es el atacante (por ejemplo, un padre que intenta ingresar a la cuenta del niño, un novio o una novia que intenta obtener acceso a la cuenta, etc.). En este escenario, es muy probable que la persona sepa la respuesta a cualquier pregunta personal (nombre de soltera de la madre, primer auto, maestra de tercer grado) y también es probable que tenga acceso físico al teléfono o PC de la víctima. Supongamos también que la víctima no es una persona preocupada por la seguridad, por lo que dejan su correo electrónico abierto en una pestaña y no tiene una contraseña de salvapantallas y su teléfono está protegido por un pin que es su cumpleaños.
Como persona de seguridad, siempre pongo en suspenso las respuestas a las preguntas de seguridad y almaceno las respuestas con cifrado, pero como la víctima realmente no quiere lidiar con un administrador de contraseñas, no sabe qué es el cifrado, etc. . No podemos confiar en que el usuario tome contramedidas para protegerse a sí mismo ya que la víctima puede legítimamente necesitar usar estas respuestas para recuperar su cuenta.
Sabiendo que existe un problema de seguridad física y que la información no es bien conocida, qué contramedidas o controles puede implementar el proveedor del servicio para ayudar a proteger al usuario de un atacante que es un miembro de la familia / amigo con acceso físico.
Las respuestas deben estar en el lado del proveedor de servicios, ya que el objetivo es proteger a un usuario final no sofisticado.