Question
[.____] Dans le cas des questions de sécurité utilisées pour réinitialiser un mot de passe de compte, ce qui est considéré comme une meilleure pratique pour la manipulation de la sensibilité de cas sur les réponses de la question de sécurité?
scénario
[.____] Un processus de réinitialisation du mot de passe de compte Je travaille sur des travaux en trois étapes. La première étape demande à l'utilisateur de fournir trois informations identifiables, y compris leur nom d'utilisateur, leur date de naissance et leur numéro d'identification. Une fois qu'ils ont passé ce chèque, ils sont interrogés sur leur (s) question (s) de sécurité (qu'elles sont présentées précédemment). S'ils ont passé ce chèque, ils ont mis en place un nouveau mot de passe.
Donc, devrions-nous avoir besoin de sensibilité de cas sur la question de la sécurité? Une discussion interne nous pointe dans la direction de "non". Une justification que nous avons mises en place est, disons que nous avons utilisé la même question de sécurité si l'utilisateur nous a appelé comme un chèque pour vérifier leur identité. S'ils obtiennent la réponse à droite, ils obtiennent la réponse à droite. Ils n'évalent pas le cas de la réponse à nous verbalement. Alors, devrions-nous le faire sur un formulaire Web?
Je ne peux pas sembler trouver une "norme de l'industrie" ou une "meilleure pratique", je espérant donc obtenir des commentaires des personnes ayant une expérience de cette pratique ou des experts en matière de sécurité.
"Réponses de la question de la sécurité" s'apparente aux mots de passe auxiliaires, que les utilisateurs n'utiliseront pas quotidiennement. Se souvenir d'un mot de passe que vous ne tapez presque jamais est difficile. Nécessitant une affaire exacte est susceptible de rendre l'utilisateur de ne pas répondre correctement.
Sur un point de vue théorique, une "question de sécurité" est déjà une faiblesse énorme que vous tolérez parce que certains utilisateurs Will oublient leur mot de passe et vous souhaitez gérer ce cas avec autant d'automatisation possible, Et ne pas demander une question de sécurité serait même pire sage de sécurité. Par conséquent, la valeur ajoutée des questions de sécurité est qu'elles permettent un processus de réinitialisation de mot de passe non totalement ouvert qui peut néanmoins être effectué automatiquement, c'est-à-dire à un coût minimal pour le serveur. La sensibilité du cas supprimerait probablement une grande partie de cette valeur. En fait, je recommanderais même la normalisation en supprimant les espaces, la ponctuation et les accents.
Les questions de sécurité sont fondamentalement un autre mot de passe. Idéalement, il devrait donc avoir les mêmes propriétés qu'un mot de passe, c'est-à-dire une longueur raisonnable (plus de 8 caractères) étant le plus important à défendre contre la devinette et la bruteforce.
Cette étude de recherche a été publiée ici dans une question précédente: https://docs.google.com/viewer?a=v&pid=sites&srcid=zgvmyxvsdgrvbwfpBnxnly3xnedojszxnly3xnedojszxnly3xnewjszxnly3xnedozndcwndhmmme2mmmjimdkw
Ses conclusions sont que la complexité n'est pas si importante contre une entrée en ligne. Ainsi, si vous vérifiez que vous vérifiez les mots de base du dictionnaire, le nom d'utilisateur, etc., disposez de suffisamment de longueur et mettez en place un verrouillage de compte ou une réactionnelle exponentielle, il n'y a pas d'avantage significatif dans la complexité.
Bien sûr, le meilleur serait d'éliminer les questions secrètes et d'ajouter une méthode de réinitialisation de mot de passe de bande de bande telle que SMS un mot de passe ou même un e-mail un mot de passe/un lien d'une fois. Ou arrêter de gérer les mots de passe en tout et en charge An OAuth (par exemple, Connect Facebook Connect) ou Open-ID (Google, etc.), méthode d'authentification.
Comme cela a été indiqué dans les deux réponses antérieures, les "questions de sécurité" ne sont que des mots de passe et déguisés et doivent être traités comme tels. Nous ne définissons pas vos mots de passe sur certaines valeurs facilement devinées ou disponibles publiquement, alors pourquoi le faisons-nous aux questions de sécurité? Il demande des problèmes et je connais personnellement des gens qui ont eu des problèmes de cette façon.
Je donne toujours des réponses complètement composées aux questions de sécurité, puis de les traiter de la même manière que les mots de passe réels, c'est-à-dire l'utilisation du logiciel de gestion des mots de passe. Je recommande sérieusement à tout le monde de faire la même chose.