Question de sécurité: quelles questions posez-vous?

Pourquoi ne pas autoriser l'utilisateur à saisir sa propre question de sécurité?

La question elle-même n'a pas d'importance, elle n'est là que pour rafraîchir la mémoire de l'utilisateur. Si vous laissez l'utilisateur saisir sa propre question, il est plus susceptible de se souvenir de la réponse et vous n'avez pas à essayer de penser à beaucoup de questions différentes pour couvrir toutes les situations dans lesquelles un utilisateur peut se trouver (c'est-à-dire qu'il n'a jamais eu un animal de compagnie, je ne sais pas le nom de jeune fille de la mère, etc.).

Je prends cette réponse directement depuis le site Web goodsecurityquestions.com , comme indiqué sur le site Security StackExchange .

Le terme "questions de sécurité" est impropre. Les questions de sécurité créent une faille ou une brèche potentielle dans la sécurité en fournissant des moyens aux utilisateurs non autorisés d'accéder si la réponse peut être découverte. Espérons que les experts en sécurité trouveront de meilleures façons de récupérer les mots de passe oubliés ou de vérifier l'identification lors de la connexion, mais d'ici là, les questions de sécurité prévaudront probablement.

Ainsi, les questions de sécurité ont à la fois des avantages et des inconvénients. Les mauvaises questions créent des failles de sécurité et de la confusion et coûtent de l'argent dans les appels d'assistance. De bonnes questions de sécurité peuvent être utiles dans l'environnement actuel, mais ne sont pas courantes.

Cependant, il n'y a vraiment PAS de BONNES questions de sécurité; seulement des questions justes ou mauvaises. "Bon" donne l'impression que ces questions sont acceptables et protègent l'utilisateur. La réalité est que les questions de sécurité offrent une possibilité de violation et même les meilleures questions de sécurité ne sont pas assez bonnes pour éliminer toutes les attaques. Il y a un compromis; libre-service vs risques de sécurité.

Les réseaux sociaux (Facebook, MySpace, Twitter, blogs personnels, LinkedIn) créent plus de risques pour les questions de sécurité. Les gens racontent généreusement tout sur eux-mêmes, leur histoire, leurs goûts, leurs favoris et plus encore. Il est maintenant plus facile de trouver des informations sur les gens.

Mais pour répondre à votre question, ce site fournit une liste qui, selon eux, est meilleure que d'autres qui répondent aux critères de:

Les bonnes questions de sécurité ont quatre caractéristiques communes. La réponse à une bonne question de sécurité:

1. ne peut pas être facilement deviné ou recherché (sûr),
2. ne change pas avec le temps (stable),
3. est mémorable,
4. est définitive ou simple.

Et ces questions sont :

• Quel était ton surnom d'enfance?
• Dans quelle ville avez-vous rencontré votre conjoint/autre proche?
• Quel est le nom de votre ami d'enfance préféré?
• Dans quelle rue viviez-vous en troisième année?
• Quel est le mois et l’année d’anniversaire de votre aîné? (par exemple, janvier 1900)
• Quel est le deuxième prénom de votre enfant aîné?
• Quel est le deuxième prénom de votre frère aîné?
• Quelle école as-tu fréquenté en sixième?
• Quel était votre numéro de téléphone d'enfance, y compris l'indicatif régional? (par exemple, 000-000-0000)
• Quels sont le prénom et le nom de votre cousin aîné?
• Quel était le nom de votre premier animal en peluche?
• Dans quelle ville ou ville votre père et votre mère se sont-ils rencontrés?
• Où étiez-vous quand vous avez eu votre premier baiser?
• Quel est le prénom du garçon ou de la fille que tu as embrassé pour la première fois?
• Quel était le nom de famille de votre professeur de troisième année?
• Dans quelle ville vit votre frère ou sœur le plus proche?
• Quel est le mois et l’année d’anniversaire de votre frère aîné? (par exemple, janvier 1900)
• Quel est le nom de jeune fille de votre grand-mère maternelle?
• Dans quelle ville ou ville avez-vous été votre premier emploi?
• Quel est le nom du lieu de votre réception de mariage?
• Quel est le nom d'un collège auquel vous avez postulé mais que vous n'avez pas fréquenté?
• Où étiez-vous lorsque vous avez entendu parler du 11 septembre?

N'utilisez pas seulement les questions standard comme "nom de jeune fille de la mère", "nom du premier animal", etc. Elles sont largement utilisées et les utilisent signifie que vous forcez les utilisateurs à avoir les mêmes réponses de sécurité sur différents sites Web. C'est une faille de sécurité, tout comme la réutilisation des mots de passe.

Je suis d'accord avec la recommandation de Steve de permettre aux utilisateurs de formuler leurs propres questions. Mais si vous voulez vraiment proposer des questions prédéfinies:

• La réponse ne devrait pas être facile à trouver : Des choses comme "Nom de jeune fille de la mère" et "Ville natale" sont susceptibles d'être trouvées lors d'une recherche sur le Web.
• La réponse doit être sans ambiguïté : Si la question est "Quel était le nom de votre première école", alors je pourrais bien oublier si la réponse est "St Trinian's School "," Saint Trinian's "," St. Trinian School "ou une autre variante.
• La réponse devrait être difficile à deviner : "La couleur préférée" n'est pas bonne parce que il y a de bonnes chances la réponse est "bleu ", et sinon c'est probablement juste vert, rouge ou violet. Même "Nom du meilleur ami" a de bonnes chances d'être "David", par exemple.

Avant-propos: Je pense vraiment, vraiment, vraiment que vous devriez aller avec réponse de Steve .

En supposant que vous choisissez d'ignorer cette option et que vous allez poser une liste prédéfinie de questions, VEUILLEZ vous assurer que vous choisissez des questions qui ne peuvent pas être facilement résolues avec une recherche Google du nom de la personne et de la question.

Avant que Google n'existe, trouver le nom de jeune fille d'une mère pouvait être difficile. Maintenant, c'est assez simple: nom de la personne + pages blanches + nom de la mère + recherche google = nom de jeune fille de la mère. Afin de déterminer de meilleures questions, choisissez quelque chose de compliqué mais facile à retenir, qui ne peut pas être simplement recherché. Certaines questions du haut de ma tête sont:

• Quel était le deuxième meilleur cadeau d'anniversaire que vous ayez jamais reçu?
• Pourquoi le ciel est bleu?
• Quelle est votre couleur et votre animal préférés?

Le but derrière ces questions est de rendre la question et la réponse secret. La plupart des questions prédéfinies pourront être résolues par une simple recherche Google. Votre travail consiste donc à vous assurer que les questions secrètes utilisées par l'utilisateur ne sont pas faciles à répondre pour une partie non autorisée (avec des prouesses de recherche raisonnables).

Tout ce que tout le monde ici a dit, je suis d'accord. S'assurer que les questions ne sont pas quelque chose que quelqu'un peut facilement trouver sur Google, facile à deviner ou sans ambiguïté.

Je pense que créer une propre question est une bonne idée, car quelqu'un peut créer une question qui n'est pas une question de sécurité commune, mais la chute de cela est que vous ne conduisez pas à quel point la question est sécurisée et empêche l'utilisateur de créer quelque chose comme ça...

Question: "grenouille" Réponse: "joe"

Les gens peuvent avoir tendance à devenir paresseux et à créer des questions sans ambiguïté dont personne ne se souviendra jamais. Je pense donc qu'il serait important d'avoir à la fois une liste de questions et la possibilité de créer votre propre question.

Je pense qu'une liste prédéfinie est la voie à suivre, j'ai résolu ce problème de sécurité sur mon projet actuel en demandant à l'utilisateur de remplir trois questions de sécurité. Donc, une zone de liste déroulante (avec toutes les questions prédéfinies - vous pouvez en trouver de bonnes avec une recherche rapide sur le Web) et un champ de saisie en dessous pour remplir la réponse.

Les chances d'en deviner une sont possibles, les chances de deviner les trois sont très improbables.

Ajoutons ce qu'il ne faut pas faire et pourquoi. Par exemple, le California Franchise Tax Board restreint la sélection à des choses comme:

• Quelle est votre couleur préférée?
• Quel est le nom de votre émission de télévision préférée annulée?
• Quel est votre jeu de société préféré pour jouer avec des amis?

Les réponses à ces questions peuvent changer avec le temps. Cela pourrait être un choix marginalement acceptable pour un site où l'utilisateur se connecte souvent et peut voir et ajuster les réponses. C'est un mauvais choix pour un site où l'utilisateur se connecte rarement.

Les questions demandant des parties d'autres documents sécurisés sont également mauvaises:

• Quatre derniers SSN
• Troisième chiffre du permis de conduire

Le vol de ces données dans votre entreprise pourrait compromettre la sécurité de l'utilisateur sur d'autres sites.

Vous avez des alternatives, telles que:

• Demander à l'utilisateur de télécharger une photo, qui est renvoyée à l'utilisateur pour vérifier la connexion (pour éviter l'usurpation d'identité)
• Demander à l'utilisateur d'entrer une phrase qui est répétée pour valider la connexion (encore une fois, l'usurpation d'identité).
• Demander à l'utilisateur d'entrer ses propres questions et réponses, peut-être avec certaines exigences de complexité.
• Divers systèmes de rappel et de messagerie texte (avec la faiblesse que quelqu'un qui vole un téléphone mobile a généralement accès à la fois aux courriels et aux messages texte de la personne qu'il escroquent).

@Steve a cloué la réponse ci-dessus. Pouvez-vous penser à votre propre question, avec une réponse qui est super obscure? Probablement oui. Par exemple, considérez "où Mary Jane a-t-elle caché mes sous-vêtements ce jour-là au lycée?". Soyez flou en termes de correspondance de réponses, car ce sont des questions humaines avec des réponses humaines. Acceptez définitivement tous les cas (par exemple "Le bureau du principal") et peut-être même les correspondances de chaînes partielles (par exemple "le bureau principal").