it-swarm.com.de

Sicherheitsfrage: Welche Fragen stellen Sie?

Bei der Arbeit an einer Funktion zum Speichern von Angeboten für unsere neue Website besteht eine der Sicherheitsanforderungen darin, eine geheime Frage zu stellen und vom Benutzer einen Wert zu erhalten.

Hat jemand Vorschläge zur Art der Sicherheitsfragen?

15
Chris

Warum nicht zulassen, dass der Benutzer seine eigene Sicherheitsfrage eingibt?

Die Frage selbst spielt keine Rolle, sie dient nur dazu, den Speicher des Benutzers zu beleben. Wenn Sie den Benutzer seine eigene Frage eingeben lassen, wird er sich mit größerer Wahrscheinlichkeit an die Antwort erinnern, und Sie müssen nicht versuchen, sich viele verschiedene Fragen zu überlegen, um alle Situationen abzudecken, in denen sich ein Benutzer möglicherweise befindet (dh die er nie hatte) ein Haustier, kenne den Mädchennamen der Mutter nicht usw.).

28
Steve

Ich nehme diese Antwort direkt von der Website goodsecurityquestions.com , auf die auf der Website Security StackExchange verwiesen wird.

Der Begriff "Sicherheitsfragen" ist eine falsche Bezeichnung. Sicherheitsfragen stellen eine potenzielle Sicherheitslücke oder -verletzung dar, indem sie nicht autorisierten Benutzern die Möglichkeit bieten, Zugriff zu erhalten, wenn die Antwort gefunden werden kann. Hoffentlich finden Sicherheitsexperten bessere Möglichkeiten, vergessene Passwörter abzurufen oder die Identifizierung während der Anmeldung zu überprüfen, aber bis dahin werden wahrscheinlich Sicherheitsfragen überwiegen.

Sicherheitsfragen haben also sowohl Vorteile als auch Verbindlichkeiten. Schlechte Fragen führen zu Sicherheitsverletzungen und Verwirrung und kosten Geld bei Supportanrufen. Gute Sicherheitsfragen können in der aktuellen Umgebung hilfreich sein, sind jedoch nicht häufig.

Es gibt jedoch wirklich keine guten Sicherheitsfragen; nur faire oder schlechte Fragen. "Gut" erweckt den Eindruck, dass diese Fragen akzeptabel sind und den Benutzer schützen. Die Realität ist, dass Sicherheitsfragen eine Möglichkeit für Verstöße darstellen und selbst die besten Sicherheitsfragen nicht gut genug sind, um alle Angriffe auszublenden. Es gibt einen Kompromiss; Selbstbedienung vs. Sicherheitsrisiken.

Soziale Netzwerke (Facebook, MySpace, Twitter, persönliche Blogs, LinkedIn) bergen ein höheres Risiko für Sicherheitsfragen. Die Menschen erzählen großzügig alles über sich selbst, ihre Geschichte, Vorlieben, Favoriten und mehr. Es ist jetzt einfacher, Informationen über Personen zu finden.

Um Ihre Frage tatsächlich zu beantworten, bietet diese Website eine Liste, die ihrer Meinung nach besser ist als andere, die die folgenden Kriterien erfüllen:

Gute Sicherheitsfragen haben vier gemeinsame Merkmale. Die Antwort auf eine gute Sicherheitsfrage:

  1. kann nicht leicht erraten oder recherchiert werden (sicher),
  2. ändert sich nicht im Laufe der Zeit (stabil),
  3. ist unvergesslich,
  4. ist definitiv oder einfach.

nd diese Fragen sind :

  • Wie war dein Spitzname in deiner Kindheit?
  • In welcher Stadt haben Sie Ihren Ehepartner/Lebensgefährten getroffen?
  • Wie heißt dein Lieblingsfreund aus Kindertagen?
  • In welcher Straße lebten Sie in der dritten Klasse?
  • Was ist der Geburtstag und das Jahr Ihres ältesten Geschwisters? (z. B. Januar 1900)
  • Wie lautet der zweite Vorname Ihres ältesten Kindes?
  • Wie lautet der zweite Vorname Ihres ältesten Geschwisters?
  • Welche Schule haben Sie in der sechsten Klasse besucht?
  • Wie war Ihre Kindheitstelefonnummer einschließlich Vorwahl? (z. B. 000-000-0000)
  • Wie lautet der Vor- und Nachname Ihres ältesten Cousins?
  • Wie hieß dein erstes Stofftier?
  • In welcher Stadt haben sich deine Mutter und dein Vater getroffen?
  • Wo warst du, als du deinen ersten Kuss hattest?
  • Wie lautet der Vorname des Jungen oder Mädchens, das Sie zuerst geküsst haben?
  • Wie war der Nachname Ihres Lehrers der dritten Klasse?
  • In welcher Stadt lebt Ihr nächstes Geschwister?
  • Was ist der Geburtstagsmonat und das Geburtstagsjahr Ihres ältesten Bruders? (z. B. Januar 1900)
  • Wie lautet der Mädchenname Ihrer Großmutter mütterlicherseits?
  • In welcher Stadt war dein erster Job?
  • Wie heißt der Ort, an dem Ihr Hochzeitsempfang stattfand?
  • Wie heißt ein College, an dem Sie sich beworben haben, das Sie aber nicht besucht haben?
  • Wo warst du, als du zum ersten Mal vom 11. September gehört hast?
11
JonW

Verwenden Sie nicht nur die Standardfragen wie "Mädchenname der Mutter", "Name des ersten Haustieres" usw. Sie werden häufig verwendet und verwenden sie bedeutet, dass Sie Benutzer dazu zwingen, auf verschiedenen Websites dieselben Sicherheitsantworten zu erhalten. Das ist eine Sicherheitslücke, genau wie die Wiederverwendung von Passwörtern.

Ich stimme Steves Empfehlung zu, Benutzern zu erlauben, ihre eigenen Fragen zu stellen. Aber wenn Sie wirklich vordefinierte Fragen stellen möchten:

  • Die Antwort sollte nicht leicht zu finden sein : Dinge wie "Mädchenname der Mutter" und "Heimatstadt" werden wahrscheinlich bei einer Websuche gefunden.
  • Die Antwort sollte eindeutig sein : Wenn die Frage "Wie war der Name Ihrer ersten Schule" lautet, kann ich durchaus vergessen, ob die Antwort "St. Trinian's School "," Saint Trinian's "," St. Trinian School "oder eine andere Variante.
  • Die Antwort sollte schwer zu erraten sein : "Lieblingsfarbe" ist nicht gut, weil es besteht eine gute Chance die Antwort ist "blau" ", und sonst ist es wahrscheinlich nur grün, rot oder lila. Sogar "Name des besten Freundes" hat zum Beispiel eine gute Chance, "David" zu sein.
7
Bennett McElwee

Vorwort: Ich denke wirklich, wirklich, wirklich, dass Sie mit Steves Antwort gehen sollten.

Angenommen, Sie ignorieren diese Option und stellen eine vordefinierte Liste von Fragen. BITTE stellen Sie sicher, dass Sie Fragen auswählen, die mit einer Google-Suche nach dem Namen der Person und der Frage nicht einfach gelöst werden können.

Bevor Google existiert, kann es schwierig sein, den Mädchennamen einer Mutter zu finden. Jetzt ist es ziemlich einfach: Name der Person + weiße Seiten + Name der Mutter + Google-Suche = Mädchenname der Mutter. Um bessere Fragen zu ermitteln, wählen Sie etwas Kompliziertes, aber leicht zu merkendes, das nicht einfach durchsucht werden kann. Einige Fragen aus meinem Kopf sind:

  • Was war das zweitbeste Geburtstagsgeschenk, das du jemals bekommen hast?
  • Warum ist der Himmel blau?
  • Was ist deine Lieblingsfarbe und dein Lieblingstier?

Der Zweck dieser Fragen besteht darin, die Frage und Antwort geheim zu machen. Die meisten vordefinierten Fragen können mit einer einfachen Google-Suche beantwortet werden. Ihre Aufgabe ist es daher sicherzustellen, dass die geheimen Fragen, die vom Benutzer verwendet werden, für einen Unbefugten (mit angemessenen Suchfähigkeiten) nicht einfach zu beantworten sind.

4
Az Za

Alles, was alle hier gesagt haben, stimme ich zu. Stellen Sie sicher, dass die Fragen nicht leicht zu googeln, leicht zu erraten oder eindeutig sind.

Ich glaube, dass es eine gute Idee ist, eine eigene Frage zu erstellen, da jemand eine Frage erstellen kann, die keine allgemeine Sicherheitsfrage ist. Der Nachteil dabei ist jedoch, dass Sie nicht die Sicherheit der Frage bestimmen und den Benutzer daran hindern, etwas zu erstellen so was...

Frage: "Frosch" Antwort: "Joe"

Menschen neigen dazu, faul zu werden und äußerst eindeutige Fragen zu stellen, an die sich niemand erinnern würde. Daher halte ich es für wichtig, sowohl eine Liste mit Fragen als auch die Möglichkeit zu haben, eine eigene Frage zu erstellen.

2
Jason Frade

Ich denke, eine vordefinierte Liste ist der Weg in die Zukunft. Ich habe dieses Sicherheitsproblem in meinem aktuellen Projekt gelöst, indem ich den Benutzer gebeten habe, drei Sicherheitsfragen auszufüllen. Also ein Kombinationsfeld (mit allen vordefinierten Fragen - Sie können gute mit einer schnellen Websuche finden) und ein Eingabefeld darunter, um die Antwort auszufüllen.

Chancen, eine zu erraten, sind möglich, eine Vermutung aller drei höchst unwahrscheinlich.

1
Reece Parry

Fügen wir hinzu, was nicht zu tun ist und warum. Zum Beispiel beschränkt das California Franchise Tax Board die Auswahl auf Dinge wie:

  • Was ist deine Lieblingsfarbe?
  • Wie heißt Ihre Lieblings-TV-Sendung?
  • Was ist dein Lieblingsbrettspiel, um mit Freunden zu spielen?

Die Antworten auf diese Fragen können sich im Laufe der Zeit ändern. Für eine Site, auf der sich Benutzer häufig anmelden und die Antworten anzeigen und anpassen können, ist dies möglicherweise eine geringfügig in Ordnung. Es ist eine schlechte Wahl für eine Site, auf der sich der Benutzer selten anmeldet.

Ebenfalls schlecht sind Fragen nach Teilen anderer sicherer Dokumente:

  • Die letzten vier von SSN
  • Dritte Ziffer des Führerscheins

Ein Diebstahl dieser Daten aus Ihrem Unternehmen könnte die Sicherheit des Benutzers auf anderen Websites gefährden.

Sie haben Alternativen wie:

  • Lassen Sie den Benutzer ein Foto hochladen, das zur Überprüfung der Anmeldung an den Benutzer zurückgesendet wird (um Spoofing zu verhindern).
  • Lassen Sie den Benutzer eine Phrase eingeben, die wiederholt wird, um die Anmeldung zu überprüfen (erneut Spoofing).
  • Lassen Sie den Benutzer seine eigene Frage und Antwort eingeben, möglicherweise mit einigen Komplexitätsanforderungen.
  • Verschiedene Rückruf- und Textnachrichtensysteme (mit der Schwäche, dass jemand, der ein Mobiltelefon stiehlt, im Allgemeinen Zugriff auf E-Mail- und Textnachrichten für die Person hat, die er betrügt).

@ Steve hat die Antwort oben genagelt. Können Sie sich Ihre eigene Frage vorstellen, deren Antwort sehr dunkel ist? Wahrscheinlich ja. Denken Sie zum Beispiel darüber nach, wo Mary Jane an diesem Tag in der High School meine Unterwäsche versteckt hat. Seien Sie in Bezug auf eine Antwortübereinstimmung verschwommen, da dies menschliche Fragen mit menschlichen Antworten sind. Akzeptieren Sie auf jeden Fall jeden Fall (z. B. "The Principal's Office") und möglicherweise sogar teilweise Zeichenfolgenübereinstimmungen (z. B. "Principal Office").

1
Bryce