Was ist eine gute Alternative zu Sicherheitsfragen? [geschlossen]

Question

  

Wired Magazin:

     

... die Palin Hack nicht verlangen, jede   reale Fähigkeiten. Stattdessen einfach der Hacker   Reset Palins Passwort ihre Verwendung   Geburtsdatum, Postleitzahl und Informationen   über, wo sie ihre Ehepartner erfüllt - die   Sicherheitsfrage auf ihre Yahoo   Konto, das beantwortet wurde (Wasilla   Hoch) durch eine einfache Google-Suche.

Wir können nicht darauf vertrauen solche

War es hilfreich?

einreichen

Lösung

Out-of-Band-Kommunikation ist der Weg zu gehen.

Zum Beispiel kann ein temporäres Passwort in dem Senden von SMS akzeptabel sein (je nach System). Ich habe die von Telekom umgesetzt oft gesehen, wo SMS ist billig / Frei / Teil des Geschäfts, und die Mobiltelefonnummer des Benutzers ist vorregistrierten ...

Die Banken verlangen oft einen Anruf zu / von einer bestimmten Nummer, aber ich persönlich bin nicht zu verrückt, dass ....

Und natürlich je nach System, den Benutzer zu zwingen, um die Zweigstelle zu kommen, um persönlich zu identifizieren sich auch (nur fürstlich ärgern den Benutzer) arbeiten können.

Unterm Strich schafft nicht einen schwächeren Kanal die starken Passwortanforderungen zu umgehen.

Answer 1

Out-of-Band-Kommunikation ist der Weg zu gehen.

Zum Beispiel kann ein temporäres Passwort in dem Senden von SMS akzeptabel sein (je nach System). Ich habe die von Telekom umgesetzt oft gesehen, wo SMS ist billig / Frei / Teil des Geschäfts, und die Mobiltelefonnummer des Benutzers ist vorregistrierten ...

Die Banken verlangen oft einen Anruf zu / von einer bestimmten Nummer, aber ich persönlich bin nicht zu verrückt, dass ....

Und natürlich je nach System, den Benutzer zu zwingen, um die Zweigstelle zu kommen, um persönlich zu identifizieren sich auch (nur fürstlich ärgern den Benutzer) arbeiten können.

Unterm Strich schafft nicht einen schwächeren Kanal die starken Passwortanforderungen zu umgehen.

Answer 2

Die Unsicherheit der so genannte „Sicherheitsfragen“ ist seit langem bekannt. Wie Bruce Schneier bringt es :

  

Das Ergebnis ist das normale Sicherheitsprotokoll (Passwörter) fällt zurück auf ein viel weniger sicheres Protokoll (geheime Fragen). Und die Sicherheit des gesamten Systems leidet.

     

Was kann man tun? Meine übliche Technik ist es, eine völlig zufällige Antwort auf Typen - Ich schlage wie verrückt auf meiner Tastatur für ein paar Sekunden - und dann vergessen Sie es. Dadurch wird sichergestellt, dass einige Angreifer können nicht mein Passwort umgehen und versuchen, die Antwort auf meine geheime Frage zu erraten, aber es ist ziemlich unangenehm, wenn ich mein Passwort vergessen. Das einzige Mal, das mir passiert ist, hatte ich die Firma anrufen mein Passwort zu erhalten und setzen in Frage stellen. (Ehrlich gesagt, ich erinnere mich nicht, wie ich mich an den Kundendienst rep am anderen Ende der Telefonleitung authentifizierte.)

Ich denke, die bessere Technik ist, einfach eine E-Mail mit einem Link schicken sie der Benutzer ursprünglich verwendet, um zu registrieren, ein neues zufälliges Passwort an die E-Mail-Konto generieren können. Wenn sie nicht ein neues Passwort angefordert haben, können sie einfach ignorieren und behalten ihre alten verwenden. Wie andere haben darauf hingewiesen, wäre dies nicht unbedingt Yahoo hat dazu beigetragen, da sie einen E-Mail-Dienst ausgeführt wurden, aber für die meisten anderen Dienste E-Mail ist eine anständige Authentifizierungsmaßnahme (in der Tat, können Sie das Authentifizierungsproblem foist off auf der Benutzer-E-Mail-Provider).

Natürlich könnte man einfach OpenID verwenden.

Answer 3

Nachdem eine Menge von Plakaten vorschlägt E-Mail zu sehen, alles, was ich vorschlagen kann, ist DONT Verwendung E-Mail als Verteidigungslinie.

somebodys E-Mail-Konto Compromising kann relativ einfach sein. Viele Web-basierte E-Mail Dienste DONT bieten keine wirkliche Sicherheit entweder, und selbst wenn sie SSL bieten, ihre oft nicht default und Sie werden auf die Schwäche der immer noch unter Berufung E-Mail Passwort des Benutzers (Was wiederum einen Rückstellmechanismus die meisten der Zeit) zu schützen.

E-Mail ist einer der unsichersten Technologien, und es gibt gut Gründe, warum es ist eine wirklich schlechte Idee Informationen wie Kreditkartendetails über sie zu senden. Sie sind in der Regel zwischen den Servern im Nur-Text, und ebenso oft, zwischen Server und Desktop-Client ebenso unverschlüsselt übertragen und alles was man braucht ist ein Draht sniff die Reset-URL und auslösen es zu bekommen. (Sagen Sie nicht, ich bin paranoid, weil die Banken verwenden SSL-Verschlüsselung für eine gut Grund. Wie kann man vertrauen, die 20-200 physischen Geräte auf der Strecke haben gute Absichten?)

Wenn Sie die Reset-Daten erhalten, können Sie das Kennwort zurückzusetzen, und dann ändern Sie Ihre (ihre) E-Mail-Adresse und haben permanente Kontrolle über ihr Konto (es geschieht die ganze Zeit).

Und wenn sie Ihr E-Mail-Konto zu erhalten, alles, was sie tun müssen, ist eine Browse durch Ihren Posteingang zu finden, mit wem Sie abonniert hat, und dann einfach das Passwort zurücksetzen auf alle von ihnen

So, jetzt

, mit der E-Mail-basierten Sicherheit, kann zu einem führt propogative Sicherheitslücke !. Ich bin sicher, das ist von Vorteil!.

Die Frage wird gefragt Ist eine I Figur fast unmöglich ist, allein mit Software zu tun. Aus diesem Grunde wir 2-Faktor-Authentifizierung mit Hardware-Dongles haben, die Herausforderungen mit ihrer eigenen einzigartigen privaten Schlüssel Unterschrift reagieren, und nur, wenn Sie verlieren, die Sie verschraubt sind, und Sie dann mit einem Menschen zu tun haben (oh nein) ein erhalten ein neues.

Answer 4

Es hängt "auf dem 'System'.

• Wenn Sie eine Bank oder ein Kreditkartenanbieter sind, haben Sie bereits ausgegeben einige physischen Token an Ihren Kunden, dass Sie gegen und validieren können.

• Wenn Sie eine E-Commerce-Website sind, fragen Sie für einige der jüngsten Transaktionen -exact Mengen, Kreditkartennummer verwendet et al ..

• Wenn Sie wie Yahoo sind, ein automatisierter Ansatz, den ich verwenden würde, ist eine senden Aktivierungscode entweder über einen Telefonanruf oder eine SMS-Nachricht an die Zelle Telefon zusammen mit einigen anderen grundlegenden Fragen und Antworten.

Jay

Answer 5

Haben Sie den Benutzer 3 Fragen und Antworten geben. Wenn sie einen Reset präsentieren sie mit einem Drop-Down von 5 Fragen verlangen, ein, wenn die eine Zufall eines von den 3 sie eintraten. Dann eine Bestätigungsmail schicken, um tatsächlich das Kennwort zurückzusetzen.

Natürlich nichts wird wirklich „Hacker Beweis“ sein.

Answer 6

Weg mit den (in) Sicherheitsfragen vollständig. Sie sind so eine offensichtliche Sicherheitslücke, die ich eigentlich ein bisschen bin überrascht, dass es diese genommen hat lange für sie eine ernsthafte zu schaffen (na ja, viel beachteten) incident.

Bis sie verschwinden, ich werde einfach weiter Websites zu erzählen, die sie verwenden, dass ich ging High School „n4weu6vyeli4u5t“ ...

Answer 7

Wenn Benutzer beteiligt sind (und vor allem, wenn sie nicht auch) gibt es keine Sicherheit; es gibt nur die Illusion von Sicherheit. Es gibt wenig, was man dagegen tun kann. Sie könnten ‚weniger gemeinsamen‘ Sicherheitsfragen, aber auch sie sind anfällig für Ausbeutung, da einige Menschen alles in den Augen der Öffentlichkeit löschte.

Secondary-Kanäle wie E-Mail bieten eine vernünftige Lösung für das Problem. Wenn der Benutzer anfordert zurückgesetzt ein Passwort, das Sie ihnen ein Passwort-Reset-Token eine E-Mail kann. Immer noch nicht perfekt, wie andere gesagt haben, aber das Ausnutzen der Angreifer erfordern würde irgendwo in der Sichtlinie zwischen der Website, deren MTA und die Benutzer MUA sein. Es ist technisch einfach, aber ich schlage vor, dass die Realität ist, es ist einfach zu viel Arbeit / Risiko für sie auf niemanden außer sehr hohen Bekanntheits Personen zu stören.

Die Forderung der Benutzer SSL oder GPG öffentlichen Schlüssel bei der Kontoerstellung Zeit liefern enorm helfen wird, aber ahnungslose Nutzer nicht wissen, was diese Dinge sind, lassen allein in der Lage ihre privaten Schlüssel sicher zu halten und gesichert, so dass sie don‘ t verlieren sie.

, um den Benutzer auffordert, ein zweiten Notfall Passwort zu liefern (Art wie PIN / PUK auf Handy SIM-Karten) helfen könnte, aber es ist wahrscheinlich, dass der Benutzer das gleiche Passwort zweimal verwenden würde oder das zweite Passwort vergisst auch.

Kurze Antwort, du bist SOL, wenn Sie Ihre Benutzer auf Sicherheit erziehen wollen und drücken sie dann mit einem cluestick, bis sie erkennen, dass es notwendig ist, sicher zu sein und die geringe Menge an zusätzlicher Arbeit ist nicht einfach eine sein Schmerz im Arsch.

Answer 8

alles Authentifizieren von E-Mails eine einigermaßen effektive Lösung ist. (Obwohl, die in diesem Fall für Yahoo vielleicht nicht praktikabel gewesen:)).

Rather etwa mit Sicherheitsfragen oder anderen Mitteln als Unordnung Passwörter wiederherzustellen, reagieren einfach zu Passwort-Anfragen wiederherstellen, indem Sie eine E-Mail an eine vordefinierte E-Mail-Konto mit einem Autorisierungslink zu senden. Von dort können Sie Passwörter ändern, oder was auch immer Sie tun müssen (allerdings nie das Passwort SEND -. Sie sollen es immer speichern als gesalzene Hash sowieso, ist es immer ändern dann, wenn das E-Mail-Konto ben gefährdet, zumindest gibt es einige Anzeichen auf der Benutzer, dass ihre andere Dienste zugegriffen wurde)

Answer 9

Die wahre Antwort ist, es keine narrensicherer Weg ist Hacker fern zu halten. Ich hasse Sicherheitsfragen, aber wenn Ihr sie verwenden würde, erlauben für benutzerdefinierte Sicherheitsfragen. Als Benutzer, wenn ich muß eine Sicherheitsfrage auf einer Website ein Konto einzurichten, ich habe wirklich die Fähigkeit zur Einrichtung meiner eigenen Sicherheitsfrage wie mit mir zu erlauben, etwas zu fragen, die nur ich weiß, wie zu beantworten. Es ist nicht einmal eine wirkliche Frage in diesem Fall sein muß. Aber ein Benutzer-Konto ist dann so sicher wie die Dummheit des Benutzers, und die Tatsache, dass viele Benutzer so etwas wie verwenden „Frage?“ und antworte!" oder etwas ähnlich stumm. Sie können Benutzer nicht von ihrer eigenen Dummheit speichern.

Answer 10

Die Behandlung dieser Sicherheitsfragen als etwas tatsächlich zwei-Faktor-Authentifizierung zu sein, ist völlig irreführend. Von falschen Artikel lesen vor, wenn bestimmte (Banken) Sites „Zwei-Faktor-Authentifizierung“ zu haben, waren erforderlich, begannen sie dies als billig Art und Weise der Umsetzung, es zu tun. Bruce Schneier sprach über dieses eine [Weile zurück] [1].

Mehrere Faktoren sind am besten Dinge, die nicht um die gleichen sind. Es sollte nicht alles sein, das Sie „wissen“, sondern etwas, was Sie wissen und etwas, das Sie haben, etc. Dies ist, wo die Hardware-Authentifizierungs-Token, Smartcards und andere solche Geräte ins Spiel kommen.

[1]: http://www.schneier.com Das Scheitern der Zwei-Faktor-Authentifizierung /blog/archives/2005/03/the_failure_of.html

Answer 11

, wenn es nicht ein E-Mail-System, per e-Mail einen Link zu einer sicheren Seite, mit einem Hash, der in dem Query-String zurückkommen muß Passwort zurücksetzen kann.

Dann, wenn jemand versucht, Ihr Passwort zurücksetzen kann, würden Sie wissen, und sie würden den Hash zu erraten, möglicherweise nicht in der Lage sein.

Wir verwenden 2 guids miteinander multipliziert, dargestellt als hex.

Answer 12

Gut für eine sollte es nicht direkt das Kennwort zurückzusetzen, sondern eine E-Mail mit einem Link zum Zurücksetzen des Passworts senden. Auf diese Weise sie die E-Mail haben würden und bekannt, dass es nicht ich, die den Reset ausgelöst, und dass ihre Frage / Antwort kompromittiert worden ist.

In dem Fall, dass die E-Mail-Adresse nicht mehr gültig ist, sollte es für ein Timeout warten (einige Tage oder eine Woche), bevor Sie eine neue E-Mail ermöglicht auf ein Konto zu befestigen.

Answer 13

Senden Sie eine Nachricht an eine andere E-Mail-Konto oder ihre Handy-Text, oder sie nennen, oder eine Schnecke-Mail-Nachricht senden. Alles, was Angelegenheiten von öffentlichem Interesse oder Präferenzen nicht beinhalten, die sich jederzeit ändern kann.

Answer 14

Gute Sicherheitsfragen sind eine falsche Bezeichnung. Sie schaffen tatsächlich eine Sicherheitslücke in einem System. Wir sollten sie in gesicherten Fragen rufen. Um jedoch das Risiko und Wert zu erkennen sie bieten, „gute“ Sicherheitsfragen sollten 4 Merkmale aufweisen:    1. nicht leicht (sicher) erraten oder erforscht werden,    2. nicht über die Zeit (stabil) ändern,    3. ist unvergesslich,    4. ist endgültig oder einfach. Sie können mehr über diese unter http://www.goodsecurityquestions.com .

Hier ist eine Liste von gut, fair und schlechten Sicherheitsfragen .

Answer 15

IMO geheime Fragen sollten nur als eine sehr schwache Steuerung mit Zeitlimit als Teil eines Systems verwendet werden. Bsp.: Passwort-Reset-System

1. Sie sind authentifiziert. Anmelden Ihre Handynummer und Ihr Geheimnis (nicht so geheim) Antwort.

2. Sie Ihr Passwort vergessen haben.

3. Sie fordern zu entsperren.

a) Ihre „Nicht so geheim“ Frage stellt man für die „nicht so geheime Antwort“. b) Wenn richtig ist, eine SMS-Nachricht wird an die pre registriert Telefon gesendet.

Auf diese Weise, wenn Ihr Handy gestohlen wird und auch, steuert wie Pin- / Sperre am Telefon nicht funktioniert. Sie werden immer noch ein gewisses Maß an Verschleierung für den Angreifer bekommen das Passwort zurücksetzen, bis die Zeit berichtet, wird das Telefon verloren / gestohlen und kann deaktiviert werden.

Diese Nutzung ist das, was ich den einzigen Zweck denke überhaupt für die „nicht so geheim“ Fragen / Antworten.

Also ich würde behaupten, gibt es einen Platz in dieser Welt für sie und dass in der Regel ein System benötigt der Diskussion sein.

Answer 16

Es werden nur Fragen geben, die nicht auf den öffentlichen Aufzeichnungen sind.

Answer 17

immer das Passwort zurückgesetzt auf ein registrierte E-Mail-Konto senden (das für ein E-Mail-Konto heikel ist) oder eine PIN-Nummer zu einem registerd Mobiltelefon oder einen Link zu einer IM-Adresse, etc. - im Grunde, erfassen einige sekundären Kontaktinformationen und es bei der Anmeldung verwendet ein senden Link ‚Passwort zurücksetzen‘.

Lassen Sie niemals jemand sein Passwort direkt ändern, immer sicherstellen, dass sie durch einen zusätzlichen Schritt zu gehen.

Answer 18

Wie wäre es der Benutzer aufgefordert, ihre eigenen Sicherheitsfrage und Antwort, und eine zweite E-Mail eingeben (nicht die, wo das Passwort zurückgesetzt Link gesendet wird). Bewahren Sie die Sicherheitsfrage und Antwort gehasht in der Datenbank für diesen zusätzlichen Schritt der Sicherheit.

Wenn der Benutzer sein / ihr Passwort vergisst, senden Sie die Passwort-Reset-Link des Benutzers primäre E-Mail . Der Benutzer klickt dann auf den Link, die Umleitungen und bittet um die Sicherheitsfrage und Antwort. Wenn dieser Schritt erfolgreich ist, dann kann der Benutzer sein / ihr Passwort zurücksetzen können. Wenn der Benutzer vergisst, die Sicherheitsfrage / Antwort einen Link auf Zurücksetzen der Sicherheitsfrage / Antwort sekundäre E-Mail des Benutzers senden .

Wenn der Angreifer Zugriff auf einen der E-Mails bekommt, wird es noch nutzlos sein, ohne Zugang zu den anderen (sehr unwahrscheinlich, kann der Angreifer Zugriff auf beide bekommen). Ich weiß, dass dieser Prozess eine Menge zusätzlicher Arbeit muss sowohl an dem Entwickler und Anwender, aber ich denke, es ist es wert. (Vielleicht könnten wir den Benutzern eine empfohlene Möglichkeit, die Sicherheitsfrage zu aktivieren / antworten, wenn sie dieses Extra an Sicherheit benötigen.)

Unterm Strich ist, dass, wie stark oder schwach wird dieses System hängt stark vom Anwender arbeitet. Die Stärke der Sicherheitsfrage / Antwort und wie gut die beiden E-Mails sind „ungebunden“ (das heißt, es gibt keine Möglichkeit, den Zugriff auf eine E-Mail durch den anderen zu gewinnen) werden diese Systeme Stärke entscheiden.

Ich weiß nicht, ob es irgendwelche Probleme gibt mit dieser Art und Weise, es zu tun, aber wenn überhaupt, würde ich mich freuen, wenn jemand diejenigen darauf hinweisen könnte:)

Answer 19

Ich ziehe Dinge einfach zu halten und eine Ehre System-Ansatz zu verwenden. Zum Beispiel werde ich den Benutzer mit etwas vorstellen wie,

  

Ist das wirklich Sie Auswählen:. Ja oder Nein

Answer 20

Erstellen Sie einen Hash, der die Person, die Benutzernamen und ein Passwort enthält und über Https als Datei an den Benutzer senden. Der Benutzer speichert die Datei auf der Festplatte. Es ist ihre Aufgabe, diese Datei an einem sicheren Ort zu speichern. Alternativ können Sie es an die E-Mail-Adresse senden, aber dies in weniger Sicherheit führen wird. Wenn der Benutzer seine Zugangsdaten vergisst müssen sie diese Datei dann hochladen. Sobald der Server den Benutzernamen und das Passwort überprüft, werden sie dann ein Dialogfenster angezeigt, ihr Kennwort zu ändern.

Answer 21

Aufgrund der Entwicklung der sozialen Medien, Sicherheitsfragen von Websites gefragt sind zu leicht zu knacken. Da die meisten Fragen sind persönliche Informationen, die auf Social-Media-Plattformen einen oder anderen leicht verfügbar ist. Eine der Alternativen Account-Hacking zu vermeiden, ist zu Kennwortregeln streng für die Anmeldung wie das Hinzufügen von Sonderzeichen, numerisch, Großbuchstaben usw. Diese Art von Passwörtern sind schwer zu entschlüsseln zu machen und kann die Sicherheit in hohem Maße verbessern. Aber es gibt neue alternative Methoden wie Multi-Faktor-Authentifizierung, Anmeldung ohne Passwort, SMS-Authentifizierung usw. SMS-Authentifizierung ist ein Teil der Multi-Faktor-Authentifizierung, wenn ein Benutzer mit einem OTP auf seinem / ihrem Mobiltelefon zur Verfügung gestellt, die er / sie braucht, um zu betreten anmelden auf eine Website in. Dies ist eine sichere Art und Weise, da der Zugriff von mobilen nur für den Benutzer beschränkt ist (meistens). Eine weitere Multi-Faktor-Authentisierungsverfahren wird das Senden einer Bestätigungs-Link zu E-Mail, die Unterzeichnung in Prozess abzuschließen. Es ist ein sehr gut geschriebenes Blog zu diesem Thema auf Medium dass dieses Konzept in einer detaillierten Weise erklärt.