ما هو البديل الجيد للأسئلة الأمنية؟[مغلق]
https://stackoverflow.com/questions/104592
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
من سلكي مجلة:
... لا يتطلب اختراق بالين أي مهارة حقيقية.بدلاً من ذلك ، يقوم المتسلل ببساطة بإعادة تعيين كلمة مرور Palin باستخدام تاريخ ميلادها والرمز البريدي ومعلومات حول المكان الذي قابلت فيه زوجتها - سؤال الأمان على حساب Yahoo الخاص بها ، والذي تم الرد عليه (Wasilla High) بواسطة بحث بسيط في Google.
لا يمكننا أن نثق بمثل هذا اسئلةالأمان لإعادة تعيين كلمات المرور المنسية.
كيف يمكنك تصميم نظام أفضل؟
المحلول
التواصل خارج النطاق هو الطريق الصحيح.
على سبيل المثال، قد يكون إرسال كلمة مرور مؤقتة عبر الرسائل النصية القصيرة (SMS) مقبولاً (حسب النظام).لقد رأيت هذا يتم تنفيذه في كثير من الأحيان عن طريق شركات الاتصالات، حيث تكون الرسائل النصية القصيرة رخيصة/مجانية/جزء من العمل، ويتم تسجيل رقم الهاتف المحمول الخاص بالمستخدم مسبقًا...
غالبًا ما تطلب البنوك إجراء مكالمة هاتفية من/إلى رقم محدد، لكنني شخصيًا لست مجنونًا بهذا الأمر....
وبالطبع، اعتمادًا على النظام، فإن إجبار المستخدم على الحضور إلى المكتب الفرعي لتعريف نفسه شخصيًا يمكن أن ينجح أيضًا (مما يؤدي إلى إزعاج المستخدم بشكل كبير).
خلاصة القول، لا تقم بإنشاء قناة أضعف لتجاوز متطلبات كلمة المرور القوية.
نصائح أخرى
إن انعدام الأمن فيما يسمى بـ "المسائل الأمنية" معروف منذ زمن طويل.مثل يقول بروس شناير:
والنتيجة هي أن بروتوكول الأمان العادي (كلمات المرور) يعود إلى بروتوكول أقل أمانًا (الأسئلة السرية).وأمن النظام بأكمله يعاني.
ماذا يمكن للمرء أن يفعل؟أسلوبي المعتاد هو كتابة إجابة عشوائية تمامًا - أضرب لوحة المفاتيح بجنون لبضع ثوان - ثم أنساها.وهذا يضمن عدم تمكن بعض المهاجمين من تجاوز كلمة المرور الخاصة بي ومحاولة تخمين إجابة السؤال السري الخاص بي، ولكن من المزعج جدًا إذا نسيت كلمة المرور الخاصة بي.في المرة الوحيدة التي حدث فيها هذا معي، اضطررت إلى الاتصال بالشركة للحصول على كلمة المرور وإعادة ضبط السؤال.(بصراحة، لا أتذكر كيف قمت بالمصادقة على نفسي لدى ممثل خدمة العملاء على الطرف الآخر من خط الهاتف.)
أعتقد أن الأسلوب الأفضل هو مجرد إرسال بريد إلكتروني يحتوي على رابط يمكنهم استخدامه لإنشاء كلمة مرور عشوائية جديدة لحساب البريد الإلكتروني الذي استخدمه المستخدم في الأصل للتسجيل.إذا لم يطلبوا كلمة مرور جديدة، يمكنهم فقط تجاهلها والاستمرار في استخدام كلمة المرور القديمة.وكما أشار آخرون، فإن هذا لم يكن بالضرورة يساعد شركة ياهو، حيث أنها كانت تدير خدمة بريد إلكتروني، ولكن بالنسبة لمعظم الخدمات الأخرى، يعد البريد الإلكتروني إجراء مصادقة لائقًا (في الواقع، يمكنك إخفاء مشكلة المصادقة على موفر البريد الإلكتروني للمستخدم).
بالطبع، يمكنك فقط استخدام OpenID.
بعد أن رأيت الكثير من الملصقات تقترح البريد الإلكتروني، كل ما يمكنني اقتراحه هو لا استخدم البريد الإلكتروني كخط دفاعك.
يمكن أن يكون اختراق حساب البريد الإلكتروني لشخص ما أمرًا سهلاً نسبيًا.العديد من خدمات البريد الإلكتروني على شبكة الإنترنت لا توفير أي أمان حقيقي أيضًا، وحتى إذا كانوا يقدمون SSL، فغالبًا ما لا يكون ذلك تقصير وأنت لا تزال تعتمد على ضعف بريد إلكتروني كلمة المرور لحماية المستخدم (والتي بدورها لها آلية إعادة تعيين في معظم الأوقات).
يعد البريد الإلكتروني أحد أكثر التقنيات غير الآمنة، وهو موجود بالفعل جيد الأسباب التي تجعل من فكرة سيئة حقًا إرسال معلومات مثل تفاصيل بطاقة الائتمان عليها.عادةً ما يتم نقلها بين الخوادم بنص عادي، وفي كثير من الأحيان، بين الخادم وعميل سطح المكتب بشكل غير مشفر بالتساوي، وكل ما يتطلبه الأمر هو شم الأسلاك للحصول على عنوان URL لإعادة التعيين وتشغيله.(لا تقل إنني مصاب بجنون العظمة، لأن البنوك تستخدم تشفير SSL لـ جيد سبب.كيف يمكنك أن تثق في أن 20-200 جهاز فعلي على الطريق لديهم نوايا حسنة؟)
بمجرد حصولك على بيانات إعادة التعيين، يمكنك إعادة تعيين كلمة المرور، ثم تغيير عنوان بريدك الإلكتروني (الخاص بهم)، والتحكم الدائم في حسابهم (يحدث ذلك طوال الوقت).
وإذا حصلوا على حساب بريدك الإلكتروني، فكل ما عليهم فعله هو تصفح صندوق الوارد الخاص بك للعثور على الشخص المشترك معه، ثم إعادة تعيين كلمة المرور بسهولة على كل منهم
حتى الآن، باستخدام الأمن القائم على البريد الإلكتروني، يمكن أن يؤدي إلى تكاثري ضعف أمني!.أنا متأكد من أن هذا مفيد!.
السؤال المطروح هو السؤال الذي أعتقد أنه يكاد يكون من المستحيل القيام به باستخدام البرنامج وحده.لهذا السبب لدينا مصادقة ثنائية مع أجهزة دونجل تستجيب للتحديات من خلال توقيع المفتاح الخاص الفريد الخاص بها، وفقط إذا فقدت ذلك، فستفشل، وسيتعين عليك بعد ذلك التعامل مع إنسان (أوه لا) للحصول على جديد.
"يعتمد" على "النظام".
إذا كنت بنكًا أو مزودًا لبطاقة الائتمان ، فقد أصدرت بالفعل بعض الرمز المميز المادي لعميلك والتي يمكنك التحقق منها والمزيد.
إذا كنت موقعًا للتجارة الإلكترونية ، فأنت تسأل عن بعض المبالغ التي يتمتع بها المعاملات الحديثة ، ورقم بطاقة الائتمان المستخدمة وآخرون ..
إذا كنت مثل Yahoo ، فإن النهج الآلي الذي أستخدمه هو إرسال رمز التنشيط عبر مكالمة هاتفية أو رسالة نصية إلى الهاتف الخلوي مع بعض الأسئلة والأجوبة الأساسية الأخرى.
جاي
اطلب من المستخدم إدخال 3 أسئلة وأجوبة.عندما يطلبون إعادة التعيين، اعرض عليهم قائمة منسدلة مكونة من 5 أسئلة، إذا كان أحد الأسئلة عشوائيًا من بين الأسئلة الثلاثة التي أدخلوها.ثم أرسل رسالة تأكيد بالبريد الإلكتروني لإعادة تعيين كلمة المرور فعليًا.
وبطبيعة الحال، لن يكون هناك شيء "دليل على القرصنة" حقًا.
تخلص من الأسئلة الأمنية (في) تمامًا.إنها ثغرة أمنية واضحة لدرجة أنني في الواقع مندهش بعض الشيء من أن الأمر استغرق وقتًا طويلاً حتى يتمكنوا من إنشاء حادثة خطيرة (تحظى بتغطية إعلامية كبيرة).
وإلى أن يختفوا، سأستمر في إخبار المواقع التي تستخدمهم بأنني ذهبت إلى المدرسة الثانوية "n4weu6vyeli4u5t"...
عندما يشارك المستخدمون (وفي الغالب عندما لا يكون الأمر كذلك أيضًا) لا يوجد أمان؛لا يوجد سوى وهم الأمن.ليس هناك الكثير الذي يمكنك القيام به حيال ذلك.من الممكن أن تكون لديك أسئلة أمنية "أقل شيوعًا"، ولكنها أيضًا عرضة للاستغلال نظرًا لأن بعض الأشخاص يضعون كل شيء أمام أعين الجمهور.
توفر القنوات الثانوية مثل البريد الإلكتروني حلاً معقولاً للمشكلة.إذا طلب المستخدم إعادة تعيين كلمة المرور، فيمكنك إرسال رمز إعادة تعيين كلمة المرور إليه عبر البريد الإلكتروني.لا يزال الأمر غير مثالي، كما قال آخرون، ولكن استغلال ذلك سيتطلب من المهاجم أن يكون في مكان ما على خط البصر بين موقع الويب وMTA الخاص به ومستخدمي MUA.إنه أمر سهل من الناحية الفنية ولكني أقترح أن الواقع هو أن الأمر يتطلب الكثير من العمل/المخاطرة بالنسبة لهم لإزعاج أي شخص باستثناء الأفراد البارزين جدًا.
إن مطالبة المستخدم بتوفير مفاتيح SSL أو GPG العامة في وقت إنشاء الحساب سيساعد بشكل كبير، ولكن المستخدمين الجاهلين لن يعرفوا ما هي هذه الأشياء - ناهيك عن أن يكونوا قادرين على الاحتفاظ بمفاتيحهم الخاصة آمنة ونسخها احتياطيًا حتى لا يفقدوها .
يمكن أن تساعد مطالبة المستخدم بتوفير كلمة مرور ثانية للطوارئ (مثل رقم التعريف الشخصي/PUK على بطاقات SIM للهاتف المحمول) ولكن من المحتمل أن يستخدم المستخدم نفس كلمة المرور مرتين أو ينسى كلمة المرور الثانية أيضًا.
إجابة مختصرة، أنت S.O.L إلا إذا كنت ترغب في تثقيف المستخدمين بشأن الأمان ثم ضربهم بمفتاح حتى يدركوا أنه من الضروري أن تكون آمنًا وأن القدر الضئيل من العمل الإضافي لا يعني ببساطة وجود ألم في مؤخرة.
تعد مصادقة كل شيء عن طريق إرسال رسائل البريد الإلكتروني حلاً فعالاً إلى حد معقول.(على الرغم من أن ذلك ربما لم يكن مناسبًا لشركة Yahoo في هذه الحالة :)).
بدلاً من العبث بأسئلة الأمان أو الوسائل الأخرى لاستعادة كلمات المرور، ما عليك سوى الرد على طلبات استعادة كلمة المرور عن طريق إرسال بريد إلكتروني إلى حساب بريد إلكتروني محدد مسبقًا مع رابط تفويض.من هناك يمكنك تغيير كلمات المرور، أو أي شيء تريد القيام به (لا ترسل كلمة المرور أبدًا - يجب عليك دائمًا تخزينها كتجزئة مملحة على أي حال، وتغييرها دائمًا.ثم إذا تم اختراق حساب البريد الإلكتروني، على الأقل هناك بعض الإشارات للمستخدم بأنه تم الوصول إلى خدماته الأخرى)
الإجابة الحقيقية هي أنه لا توجد طريقة مضمونة لإبعاد المتسللين.أنا أكره الأسئلة الأمنية، ولكن إذا كنت ستستخدمها، فاسمح للأسئلة الأمنية التي يحددها المستخدم.كمستخدم، إذا كان يجب أن يكون لدي سؤال أمان على أحد المواقع لإعداد حساب، فأنا أحب حقًا أن أتمكن من إعداد سؤال الأمان الخاص بي للسماح لي بطرح شيء لا أعرف كيفية الإجابة عليه إلا أنا.ولا يجب أن يكون سؤالًا حقيقيًا في هذه الحالة.لكن حساب المستخدمين آمن مثل غباء المستخدم ، وحقيقة أن العديد من المستخدمين سيستخدمون شيئًا مثل "سؤال؟" والجواب!" أو شيء ما على قدم المساواة.لا يمكنك إنقاذ المستخدمين من غبائهم.
إن التعامل مع هذه الأسئلة الأمنية على أنها مصادقة ثنائية هو أمر مضلل تمامًا.من العناصر الزائفة التي تمت قراءتها من قبل، عندما كان مطلوبًا من بعض المواقع (البنوك) أن يكون لديها "مصادقة ثنائية" بدأوا في تنفيذ ذلك باعتباره رخيص طريقة للقيام بذلك.تحدث بروس شناير عن هذا [أثناء العودة] [1].
العوامل المتعددة هي أفضل الأشياء التي ليست هي نفسها.لا ينبغي أن يكون كل الأشياء التي "تعرفها" بل شيئًا تعرفه وشيئًا لديك، وما إلى ذلك.هذا هو المكان الذي تلعب فيه الرموز المميزة لمصادقة الأجهزة، والبطاقات الذكية، وغيرها من الأجهزة المماثلة.
[1]: http://www.schneier.com/blog/archives/2005/03/the_failure_of.html فشل المصادقة الثنائية
عندما لا يكون نظام بريد إلكتروني، أرسل لهم عبر البريد الإلكتروني رابطًا لصفحة آمنة، مع علامة التجزئة التي يجب أن تعود في سلسلة الاستعلام لإعادة تعيين كلمة المرور.
ثم إذا حاول شخص ما إعادة تعيين كلمة المرور الخاصة بك، فستعرف ذلك، ولن يتمكن من تخمين التجزئة.
نحن نستخدم دليلين مضروبين معًا، ويتم تمثيلهما على شكل سداسي عشري.
حسنًا، لا ينبغي إعادة تعيين كلمة المرور مباشرة ولكن إرسال بريد إلكتروني يحتوي على رابط لإعادة تعيين كلمة المرور.وبهذه الطريقة كانت ستحصل على البريد الإلكتروني وتعرف أنها ليست هي التي بدأت عملية إعادة التعيين، وأن سؤالها/إجابتها قد تم اختراقه.
في حالة عدم صلاحية عنوان البريد الإلكتروني، يجب الانتظار لبعض الوقت (بضعة أيام أو أسبوع) قبل السماح بإرفاق بريد إلكتروني جديد بالحساب.
أرسل رسالة إلى حساب بريد إلكتروني مختلف، أو أرسل رسالة نصية إلى هاتفه الخلوي، أو اتصل به، أو أرسل رسالة بريدية عادية.أي شيء لا يتعلق بمسائل السجل العام أو التفضيلات التي قد تتغير في أي وقت.
الأسئلة الأمنية الجيدة هي تسمية خاطئة.إنهم في الواقع يخلقون ثغرة أمنية في النظام.يجب أن نسميها أسئلة غير آمنة.ومع ذلك، وإدراكًا للمخاطر والقيمة التي توفرها، يجب أن تتمتع الأسئلة الأمنية "الجيدة" بأربع خصائص:1.لا يمكن تخمينه بسهولة أو البحث (آمن) ، 2.لا يتغير مع مرور الوقت (مستقر) ، 3.لا تنسى ، 4.نهائية أو بسيطة.يمكنك قراءة المزيد عن هذا في http://www.goodsecurityquestions.com.
وهنا قائمة من أسئلة أمنية جيدة وعادلة وضعيفة.
يجب استخدام الأسئلة السرية للمنظمة البحرية الدولية (IMO) فقط كعنصر تحكم ضعيف للغاية مع حد زمني كجزء من النظام.السابق:نظام إعادة تعيين كلمة المرور.
لقد تمت المصادقة عليك.قم بتسجيل رقم هاتفك المحمول وإجابتك السرية (ليست سرية للغاية).
لقد نسيت كلمة المرور الخاصة بك.
أنت تطلب فتحه.
أ) سؤالك "ليس سريًا جدًا" يطلب منك الإجابة "ليست سرية جدًا".ب) إذا كان صحيحا، يتم إرسال رسالة نصية إلى الهاتف المسجل مسبقا.
بهذه الطريقة، إذا تعرض هاتفك للسرقة، فلن تعمل عناصر التحكم مثل الدبوس/القفل على الهاتف.لا يزال لديك قدر من التشويش حتى يتمكن المهاجم من إعادة تعيين كلمة المرور حتى يتم الإبلاغ عن فقدان/سرقة الهاتف ويمكن تعطيله.
أعتقد أن هذا الاستخدام هو الغرض الوحيد على الإطلاق للأسئلة/الإجابات "غير السرية".
لذلك أود أن أزعم أن هناك مكانًا لهم في هذا العالم وأن النظام عادةً ما يحتاج إلى المناقشة.
قم بتقديم الأسئلة غير الموجودة في السجل العام فقط.
أرسل دائمًا إعادة تعيين كلمة المرور إلى حساب بريد إلكتروني مسجل (وهو أمر صعب بالنسبة لحساب بريد إلكتروني) أو أرسل رقم PIN إلى هاتف محمول مسجل، أو رابطًا لعنوان المراسلة الفورية، وما إلى ذلك - بشكل أساسي، التقط بعض معلومات الاتصال الثانوية عند التسجيل و استخدمه لإرسال رابط "إعادة تعيين كلمة المرور".
لا تسمح أبدًا لأي شخص بتغيير كلمة المرور الخاصة به مباشرةً، وتأكد دائمًا من اجتيازه خطوة إضافية.
ماذا عن مطالبة المستخدمين بإدخال سؤال الأمان الخاص بهم وإجابته، والبريد الإلكتروني الثانوي (وليس البريد الإلكتروني الذي يتم إرسال رابط إعادة تعيين كلمة المرور إليه).قم بتخزين سؤال الأمان والإجابة المجزأة في قاعدة البيانات لهذه الخطوة الإضافية من الأمان.
إذا نسي المستخدم كلمة المرور الخاصة به، أرسل رابط إعادة تعيين كلمة المرور للمستخدم البريد الإلكتروني الرئيسي.يقوم المستخدم بعد ذلك بالنقر على الرابط الذي يعيد التوجيه ويسأل عن سؤال الأمان والإجابة عليه.إذا نجحت هذه الخطوة، فاسمح للمستخدم بإعادة تعيين كلمة المرور الخاصة به.إذا نسي المستخدم سؤال/إجابة الأمان، فأرسل رابطًا إليه إعادة تعيين سؤال/إجابة الأمان للمستخدم البريد الإلكتروني الثانوي.
إذا تمكن المهاجم من الوصول إلى إحدى رسائل البريد الإلكتروني، فستظل عديمة الفائدة دون الوصول إلى الأخرى (من غير المرجح أن يتمكن المهاجم من الوصول إلى كليهما).أعلم أن هذه العملية تحتاج إلى الكثير من العمل الإضافي من قبل كل من المطورين والمستخدمين، ولكن أعتقد أن الأمر يستحق ذلك.(ربما يمكننا أن نمنح المستخدمين خيارًا موصى به لتنشيط سؤال/إجابة الأمان إذا كانوا بحاجة إلى هذا القدر الإضافي من الأمان.)
خلاصة القول هي أن مدى قوة أو ضعف هذا النظام سيعتمد بشكل كبير على المستخدم.إن قوة سؤال/إجابة الأمان ومدى "فك الارتباط" بين رسالتي البريد الإلكتروني (أي أنه لا توجد طريقة للوصول إلى بريد إلكتروني واحد من خلال الآخر) ستحدد مدى قوة النظام.
لا أعرف ما إذا كانت هناك أي مشاكل في هذه الطريقة للقيام بذلك، ولكن إذا كانت هناك أي مشاكل، سأكون سعيدًا إذا تمكن أي شخص من الإشارة إليها :)
أفضل إبقاء الأمور بسيطة واستخدام نهج نظام الشرف.على سبيل المثال، سأقدم للمستخدم شيئًا مثل،
هل هذا حقا لكم؟ يختار:نعم أو لا.
أنشئ تجزئة تحتوي على اسم المستخدم وكلمة المرور للشخص وأرسلها عبر Https إلى المستخدم كملف.يقوم المستخدم بحفظ الملف على القرص.وتقع على عاتقهم مسؤولية تخزين هذا الملف في مكان آمن.وبدلاً من ذلك، يمكنك إرسالها إلى عنوان بريدهم الإلكتروني ولكن هذا سيؤدي إلى قدر أقل من الأمان.إذا نسي المستخدم بيانات اعتماد تسجيل الدخول الخاصة به، فيجب عليه تحميل هذا الملف.بمجرد أن يتحقق الخادم من اسم المستخدم وكلمة المرور، يتم عرض مربع حوار لتغيير كلمة المرور الخاصة به.
نظرًا لتطور وسائل التواصل الاجتماعي، أصبح من السهل جدًا حل الأسئلة الأمنية التي تطرحها مواقع الويب.نظرًا لأن معظم الأسئلة عبارة عن معلومات شخصية متاحة بسهولة على منصات التواصل الاجتماعي بشكل أو بآخر.أحد البدائل لتجنب اختراق الحساب هو جعل قواعد كلمة المرور صارمة لتسجيل الدخول مثل إضافة أحرف خاصة وأرقام وأحرف كبيرة وما إلى ذلك.يصعب فك تشفير هذا النوع من كلمات المرور ويمكن أن يعزز الأمان إلى حد كبير.ولكن هناك طرق بديلة جديدة مثل المصادقة متعددة العوامل، وتسجيل الدخول بدون كلمة مرور، والمصادقة عبر الرسائل القصيرة وما إلى ذلك.تعد مصادقة الرسائل القصيرة جزءًا من المصادقة متعددة العوامل حيث يتم تزويد المستخدم بكلمة مرور لمرة واحدة (OTP) على هاتفه المحمول والتي يحتاج إلى إدخالها لتسجيل الدخول إلى موقع ويب.هذه طريقة آمنة نظرًا لأن الوصول إلى الهاتف المحمول يقتصر على المستخدم فقط (في الغالب).هناك طريقة أخرى للمصادقة متعددة العوامل وهي إرسال رابط التحقق إلى البريد الإلكتروني لإكمال عملية تسجيل الدخول.هناك مدونة مكتوبة بشكل جيد للغاية حول هذا الموضوع واسطة الذي يشرح هذا المفهوم بطريقة مفصلة.
