risposta-alla-domanda-sullo-sviluppo-web-bd.com

Domanda di sicurezza: quali domande fai?

Lavorando su una funzione di preventivo di risparmio per il nostro nuovo sito Web, uno dei requisiti di sicurezza è porre una domanda segreta e ottenere un valore dall'utente.

Qualcuno ha suggerimenti sul tipo di domande di sicurezza da porre?

15
Chris

Perché non consentire all'utente di inserire la propria domanda di sicurezza?

La domanda in sé non ha importanza, è solo lì per fare jogging nella memoria dell'utente. Se lasci che l'utente digiti la propria domanda, sarebbe più probabile che si ricordi la risposta e non devi provare a pensare a molte domande diverse per coprire tutte le situazioni in cui un utente potrebbe trovarsi (cioè non hanno mai avuto un animale domestico, non conosco il nome da nubile della madre ecc.).

28
Steve

Prendo questa risposta direttamente dal sito Web goodsecurityquestions.com , come indicato nel sito Security StackExchange .

Il termine "domande sulla sicurezza" è un termine improprio. Le domande di sicurezza creano un potenziale buco o una violazione della sicurezza fornendo agli utenti non autorizzati l'accesso per ottenere la risposta. Si spera che gli esperti di sicurezza troveranno modi migliori per recuperare le password dimenticate o per verificare l'identificazione durante l'accesso, ma fino a quel momento probabilmente prevarranno le domande di sicurezza.

Pertanto, le domande di sicurezza hanno sia vantaggi che responsabilità. Le domande scadenti creano violazioni della sicurezza e confusione e costano denaro nelle chiamate di supporto. Buone domande di sicurezza possono essere utili nell'ambiente attuale, ma non sono comuni.

Tuttavia, non ci sono davvero BUONE domande di sicurezza; solo domande giuste o cattive. "Buono" dà l'impressione che queste domande siano accettabili e proteggano l'utente. La realtà è che le domande di sicurezza rappresentano un'opportunità di violazione e anche le migliori domande di sicurezza non sono abbastanza buone da escludere tutti gli attacchi. C'è un compromesso; self-service vs. rischi per la sicurezza.

I social network (Facebook, MySpace, Twitter, blog personali, LinkedIn) stanno creando un rischio maggiore per le questioni di sicurezza. Le persone raccontano generosamente tutto di se stesse, della loro storia, dei Mi piace, dei favoriti e altro ancora. Ora è più facile trovare informazioni sulle persone.

Ma per rispondere effettivamente alla tua domanda, quel sito fornisce un elenco che secondo loro è meglio di altri che soddisfano i criteri di:

Le buone domande di sicurezza hanno quattro caratteristiche comuni. La risposta a una buona domanda di sicurezza:

  1. non può essere facilmente indovinato o ricercato (sicuro),
  2. non cambia nel tempo (stabile),
  3. è memorabile,
  4. è definitivo o semplice.

E quelle domande sono :

  • Qual era il tuo soprannome da bambino?
  • In quale città hai incontrato il tuo coniuge/altro significativo?
  • Qual è il nome del tuo amico d'infanzia preferito?
  • In quale strada hai vissuto in terza elementare?
  • Qual è il mese e l'anno del compleanno del fratello maggiore? (ad esempio, gennaio 1900)
  • Qual è il secondo nome del tuo figlio maggiore?
  • Qual è il secondo nome del fratello maggiore?
  • Quale scuola hai frequentato per la prima media?
  • Qual era il tuo numero di telefono d'infanzia incluso il prefisso? (ad es. 000-000-0000)
  • Qual è il nome e il cognome di tuo cugino più anziano?
  • Qual era il nome del tuo primo animale di peluche?
  • In quale città si sono incontrati tua madre e tuo padre?
  • Dov'eri quando hai avuto il tuo primo bacio?
  • Qual è il nome del ragazzo o della ragazza che hai baciato per la prima volta?
  • Qual era il cognome del tuo insegnante di terza elementare?
  • In quale città vive il tuo fratello più vicino?
  • Qual è il mese e l'anno del compleanno di tuo fratello maggiore? (ad esempio, gennaio 1900)
  • Qual è il nome della tua nonna materna da nubile?
  • In quale città è stato il tuo primo lavoro?
  • Qual è il nome del luogo in cui si è tenuto il tuo ricevimento di nozze?
  • Qual è il nome di un college a cui hai fatto domanda ma non hai frequentato?
  • Dov'eri quando hai sentito parlare dell'11 settembre?
11
JonW

Non limitarti a usare le domande standard come "nome da nubile della madre", "nome del primo animale domestico", ecc. Sono ampiamente utilizzate e utilizzate significa che stai costringendo gli utenti ad avere le stesse risposte di sicurezza su diversi siti Web. È un buco nella sicurezza, proprio come lo è il riutilizzo delle password.

Concordo con la raccomandazione di Steve di consentire agli utenti di formulare le proprie domande. Ma se vuoi davvero offrire domande predefinite:

  • La risposta non dovrebbe essere facile da trovare : è probabile che cose come "Nome da nubile della madre" e "Città natale" si trovino con una ricerca web.
  • La risposta dovrebbe essere inequivocabile : Se la domanda è "Qual era il nome della tua prima scuola", allora potrei dimenticare se la risposta è "St Trinian's School "," Saint Trinian's "," St. Trinian School "o qualche altra variante.
  • La risposta dovrebbe essere difficile da indovinare : "Colore preferito" non va bene perché c'è una buona possibilità la risposta è "blu ", e altrimenti è probabilmente solo verde, rosso o viola. Anche "Nome del migliore amico" ha una buona possibilità di essere "David", per esempio.
7
Bennett McElwee

Premessa: penso davvero che dovresti andare con la risposta di Steve .

Supponendo che tu scelga di ignorare quell'opzione e che stai per porre un elenco predefinito di domande, PER FAVORE assicurati di scegliere domande che non possono essere facilmente risolte con una ricerca su Google del nome della persona e della domanda.

Prima dell'esistenza di Google, trovare il cognome da nubile di una madre potrebbe essere difficile. Ora è piuttosto semplice: nome della persona + pagine bianche + nome della madre + ricerca google = nome da nubile della madre. Per determinare domande migliori, scegli qualcosa di complicato ma facilmente ricordabile, che non può essere semplicemente cercato. Alcune domande in cima alla mia testa sono:

  • Qual è stato il secondo miglior regalo di compleanno che tu abbia mai avuto?
  • Perchè il cielo è blu?
  • Qual è il tuo colore preferito e l'animale preferito?

Lo scopo dietro queste domande è di fare la domanda e la risposta secret. La maggior parte delle domande che vengono predefinite risponderanno con una semplice ricerca su Google. Il tuo compito è quindi quello di assicurarti che le domande segrete utilizzate dall'utente non siano facili da rispondere per una parte non autorizzata (con abilità di ricerca ragionevoli).

4
Az Za

Tutto ciò che tutti qui hanno detto che sono d'accordo. Fare in modo che le domande non siano qualcosa che qualcuno può facilmente Google, facile da indovinare o inequivocabile.

Credo che creare una tua domanda sia una buona idea perché qualcuno può creare una domanda che non è una domanda di sicurezza comune, tuttavia il rovescio della medaglia è che non stai guidando quanto sia sicura la domanda e impedendo all'utente di creare qualcosa come questo...

Domanda: "rana" Risposta: "joe"

Le persone possono tendere a diventare pigre e creare domande estremamente inequivocabili che nessuno ricorderebbe mai. Quindi credo che sarebbe importante avere sia un elenco di domande sia l'opzione per creare la tua domanda.

2
Jason Frade

Penso che un elenco predefinito sia la strada da percorrere, ho risolto questo problema di sicurezza sul mio progetto attuale chiedendo all'utente di compilare tre domande di sicurezza. Quindi una casella combinata (con tutte le domande predefinite - puoi trovare quelle buone con una rapida ricerca sul web) e un campo di input sotto per compilare la risposta.

Le possibilità di indovinarne una sono possibili, possibilità di indovinarle tutte e tre altamente improbabili.

1
Reece Parry

Aggiungiamo cosa non fare e perché. Ad esempio, il California Franchise Tax Board limita la selezione a cose come:

  • Qual è il tuo colore preferito?
  • Qual è il nome del tuo programma TV cancellato preferito?
  • Qual è il tuo gioco da tavolo preferito da giocare con gli amici?

Le risposte a queste domande possono cambiare nel tempo. Potrebbe essere una scelta leggermente OK per un sito in cui l'utente accede spesso e può vedere e modificare le risposte. È una cattiva scelta per un sito in cui l'utente accede raramente.

Anche cattive sono le domande che richiedono parti di altri documenti sicuri:

  • Ultime quattro di SSN
  • Terza cifra della patente di guida

Il furto di tali dati dalla tua azienda potrebbe compromettere la sicurezza dell'utente su altri siti.

Hai alternative, come:

  • Far caricare all'utente una foto, che viene rispedita all'utente per verificare l'accesso (per evitare lo spoofing)
  • Chiedere all'utente di inserire una frase che viene ripetuta per convalidare l'accesso (di nuovo, spoofing).
  • Far inserire all'utente le proprie domande e risposte, magari con alcuni requisiti di complessità.
  • Vari sistemi di callback e messaggi di testo (con la debolezza che qualcuno ruba un telefono cellulare in genere ha accesso sia alla posta elettronica che ai messaggi di testo per la persona che stanno truffando).

@Steve ha inchiodato la risposta sopra. Riesci a pensare alla tua domanda, con una risposta che è super oscura? Probabilmente sì. Ad esempio, considera "dove Mary Jane ha nascosto la mia biancheria intima quel giorno al liceo?". Sii confuso in termini di corrispondenza delle risposte, poiché si tratta di domande umane con risposte umane. Accetta assolutamente qualsiasi caso (ad es. "L'ufficio del preside") e forse anche corrispondenze di stringhe parziali (ad es. "Ufficio principale").

1
Bryce