Was ist eine gute alternative zu security-Fragen?
Vom WLAN Magazin:
...der Palin-hack nicht verlangen, alle
wahre Meisterschaft. Stattdessen werden die hacker einfach
reset Palins Passwort über Ihr
Geburtsdatum, POSTLEITZAHL und Informationen
über, wo Sie traf Ihren Ehegatten -- die
Sicherheits-Frage in Ihrem Yahoo
Konto, die beantwortet wurde (Wasilla
Höhe) durch eine einfache Google-Suche.
Wir nicht Vertrauen können, so Sicherheit Fragen zum zurücksetzen vergessener Passwörter.
Wie gestaltet man ein besseres system?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Out-of-band-Kommunikation ist der Weg zu gehen.
Zum Beispiel, senden Sie ein temporäres Kennwort in der SMS-akzeptabel sein kann (je nach system). Ich habe gesehen, dass dies oft eingeführt durch Telekom, wo SMS ist Billig/kostenlos/Teil des Geschäfts, und der Nutzer die Handy-Nummer ist bereits registriert...
Banken erfordern oft ein Anruf an eine bestimmte Nummer, aber ich persönlich bin nicht allzu verrückt....
Und natürlich, je nach system, zwingen den Benutzer zu kommen, um die Niederlassung persönlich zu identifizieren, können auch selbst arbeiten (gerade fürstlich den Benutzer zu ärgern).
Bottom line, DON ' T erstellen einen schwächeren Kanal zur Umgehung der starke Passwort-Anforderungen.
Durch die Unsicherheit von so genannten "Sicherheits-Fragen" wurde für eine lange Zeit bekannt. Als Bruce Schneier bringt es:
Denke ich die bessere Technik ist, senden Sie einfach eine e-mail mit einem link, die Sie verwenden können, um ein neues zufälliges Passwort an die e-mail-Konto, das der Benutzer ursprünglich verwendet, um zu registrieren. Wenn Sie nicht ein neues Passwort anfordern, können Sie einfach zu ignorieren und halten mit Ihren alten. Wie andere haben darauf hingewiesen, dieser hätte nicht unbedingt geholfen haben Yahoo, da Sie unter einer e-mail-Dienst, aber für die meisten anderen Dienste e-mail ist eine anständige Authentifizierung Maßnahme (in der Tat, Sie unterschieben das Authentifizierungs-problem auf der Benutzer-e-mail-Anbieter).
Natürlich, Sie konnte einfach OpenID.
Gesehen zu haben eine Menge Plakate, die suggerieren, E-Mail, alles, was ich vorschlagen kann, ist DONT E-Mail-Nutzung, wie Sie Ihre Linie der Verteidigung.
Kompromisse irgendein E-Mail-Konto kann relativ einfach sein. Viele web-basierte E-Mail-Dienste DONT bieten keine wirkliche Sicherheit, und auch wenn Sie bieten SSL, oft ist es nicht Standard und Sie sind immer noch unter Berufung auf die Schwäche der E-Mail Passwort der Benutzer zu schützen ( Die wiederum hat einen reset-Mechanismus, die meisten der Zeit ).
E-Mail ist eine der unsichersten Technologien, und es gibt gute Gründe, warum Ihr eine wirklich schlechte Idee zum senden von Informationen wie Kreditkarten-details über Sie. Sie sind in der Regel übertragen zwischen Servern im nur-Text -, und ebenso oft, zwischen server-und desktop-client ebenso unverschlüsselt, und alles was es braucht ist ein Draht schnüffeln, um die reset-url, und lösen Sie es. ( Sage nicht, ich bin paranoid, weil die Banken die Verwendung von SSL-Verschlüsselung für einen gute Grund. Wie können Sie Vertrauen in die 20-200 physischen Geräte, die auf der Strecke haben gute Absichten? )
Sobald Sie die Daten zurücksetzen, können Sie das Kennwort zurücksetzen, und ändern Sie dann Ihre(Ihre) E-Mail-Adresse und die permanente Kontrolle über Ihr Konto ( es passiert die ganze Zeit ).
Und wenn Sie Ihre E-Mail-Konto, alles, was Sie tun müssen ist, haben Sie ein durchsuchen Sie Ihren Posteingang zu finden, denen Sie angemeldet sind, und dann einfach das Passwort zurücksetzen AUF ALLE VON IHNEN
So, jetzt, mit der E-Mail-Sicherheit, können dazu führen propogative Sicherheit Schwäche!. Ich bin sicher, das ist von Vorteil!.
Die Frage Ist eine die ich-Figur ist fast unmöglich zu tun, mit software allein. Das ist, warum wir haben 2-Faktor-Authentifizierung mit hardware-dongles, die Herausforderungen zu bestehen, die mit Ihren eigenen einzigartigen privaten Schlüssel eine Signatur, und nur, wenn Sie verlieren, sind Sie geschraubt, und Sie dann zu tun haben mit einem Menschen ( oh Nein ) um einen neuen zu bekommen.
Es 'hängt' am 'system'.
Wenn Sie eine Bank oder ein Kreditkarten-Anbieter, haben Sie bereits ausgestellt
einige physikalische token an Ihren Kunden, dass Sie überprüfen können, vor und mehr.
Wenn Sie eine E-Commerce Website, Fragen Sie Sie für einige der jüngsten Transaktionen
-die genauen Beträge, die Nummer der Kreditkarte verwendet, et al..
Wenn du wie Yahoo, einen automatisierten Ansatz, den ich verwenden würde, ist senden Sie eine
Aktivierungs-code entweder über einen Anruf oder eine SMS-Nachricht an die Zelle
Handy-zusammen mit einigen anderen grundlegenden Fragen und Antworten.
Jay
Haben die Benutzer, geben Sie 3 Fragen und Antworten. Wenn Sie eine Anfrage zurücksetzen präsentieren Sie mit einem drop-down von 5 Fragen, wenn die zufällig eines von den 3, die Sie eingegeben. Dann schicken Sie eine Bestätigungs-E-Mail, um tatsächlich das Kennwort zurückzusetzen.
Natürlich nichts wirklich "hacker-Beweis".
Tun, Weg mit dem (un -) Sicherheit Fragen vollständig. Sie sind eine so offensichtliche Sicherheitslücke, dass ich bin eigentlich ein bisschen überrascht, dass es ist diese genommen lange für Sie eine ernste (na ja, sehr bekannt) Vorfall.
Bis Sie verschwinden, werde ich nur immer wieder sagen, websites, die Sie verwenden, die ich ging "n4weu6vyeli4u5t" high school...
Wenn Benutzer involviert sind (und meist, wenn nicht, auch), es gibt keine Sicherheit, es gibt nur die illusion von Sicherheit. Es gibt nicht viel Sie dagegen tun können. Sie hätten "weniger Allgemeine" Fragen der Sicherheit aber auch Sie sind anfällig für Ausbeutung, da manche Leute alles in die öffentlichkeit.
Sekundären Kanäle wie E-Mail bieten eine sinnvolle Lösung für das problem. Fordert der Benutzer ein Passwort-reset können Sie per E-Mail ein Passwort-reset-token. Noch nicht perfekt, wie schon andere gesagt haben, aber die Ausnutzung dieser erfordern würde, den Angreifer irgendwo in der Sichtlinie zwischen der website, der MTA und der Benutzer MUA. Es ist technisch einfach, aber ich schlage vor, dass die Realität ist, es ist einfach zu viel Arbeit/Risiko für Sie zu stören, um auf niemanden außer sehr hochkarätigen Personen.
Erfordern den Benutzer zur Bereitstellung von SSL oder GPG-public-keys bei der Konto-Erstellung wird die Zeit helfen enorm, aber ahnungslosen Benutzer, der nicht weiss, was diese Dinge sind, lassen Sie allein in der Lage sein, um Ihre privaten Schlüssel sicher und gesichert, so dass Sie nicht verlieren Sie.
Den Benutzer auffordert, zur Versorgung einer zweiten not-Passwort (Art, wie die PIN/PUK auf Handy-SIM-Karten) könnten helfen, aber wahrscheinlich würde der Benutzer das gleiche Kennwort verwenden oder zweimal vergessen, das zweite Kennwort zu.
Kurze Antwort, du bist S. O. L, es sei denn, Sie möchten, informieren Sie Ihre Benutzer auf Sicherheit und dann schlagen Sie Sie mit einem cluestick, bis Sie erkennen, dass es notwendig ist, um sicher zu sein, und die geringe Menge zusätzliche Arbeit ist nicht einfach da zu sein, ein Schmerz in den Arsch.
Authentifizieren alles durch versenden von E-Mails ist eine Recht effektive Lösung. (obwohl, das war vielleicht gar nicht praktikabel für Yahoo in diesem Fall :)).
Anstatt über Unordnung mit Sicherheit Fragen, oder andere Mittel, um die Wiederherstellung von Passwörtern, reagieren einfach auf Passwort wiederherstellen Anfragen per E-Mail an eine vordefinierte E-Mail-Konto mit einer Genehmigung link. Von dort aus können Sie Passwörter ändern, oder was auch immer Sie tun müssen (nie SENDEN Sie das Kennwort, obwohl - Sie sollten immer speichern Sie es als ein salted hash eh immer ändern. Dann, wenn die E-Mail-Konto hat ben gefährdet, zumindest gibt es einige Hinweise an den Benutzer, dass Ihre anderen Dienste, auf die zugegriffen wurde)
Die wahre Antwort ist, es ist nicht ein Narr Beweis Weg, um Hacker aus. Ich hasse Fragen der Sicherheit, aber wenn Ihr gehen, um Sie zu verwenden, damit für Benutzer definierten Sicherheits-Fragen. Als Benutzer, wenn ich muss eine Sicherheitsfrage auf einer Website ein Konto einrichten, ich wirklich mag die Fähigkeit, um setup meine eigene Sicherheit in Frage zu erlauben, mich zu Fragen, etwas, das nur ich weiß, wie zu beantworten. Es muss nicht einmal eine wirkliche Frage in diesem Fall. Aber ein Nutzer-Konto ist dann so sicher wie die Dummheit der user, und die Tatsache, dass viele Benutzer etwas wie "Frage?" und "Antwort!" oder etwas ähnlich dumm. Sie können nicht speichern Sie den Nutzer von der eigenen Dummheit.
Behandlung dieser Fragen der Sicherheit als etwas, tatsächlich die zwei-Faktor-Authentifizierung ist völlig irreführend. Aus störende Elemente zu Lesen, bevor, wenn bestimmte (Banken -) sites, die benötigt wurden, um eine "zwei-Faktor-Authentifizierung", Sie begann mit der Umsetzung dieses als Billig Weg, es zu tun. Bruce Schneier Sprach über diese ein [während][1].
Mehrere Faktoren sind, die besten Dinge sind nicht die gleichen. Es sollte nicht sein, alle Dinge, die Sie "wissen", sondern etwas, das Sie kennen und etwas, das Sie haben, etc. Dies ist, wo die hardware-Authentifizierung Token, Smartcards und andere solche Geräte ins Spiel kommen.
[1]: http://www.schneier.com/blog/archives/2005/03/the_failure_of.html das Scheitern Der Zwei-Faktor-Authentifizierung
wenn es sich nicht um ein E-Mail-system, per E-Mail einen link zu einer sicheren Seite, die mit einem hash, der muss wieder in den query-string auf Kennwort zurücksetzen.
Dann, wenn jemand versucht, Ihr Passwort zurückzusetzen, Sie würde es wissen, und Sie wäre nicht in der Lage sein, zu erraten, wird die hash-potenziell.
Verwenden wir 2 guids miteinander multipliziert, dargestellt als hex.
Nun, zum einen sollte es nicht direkt das Passwort zurückgesetzt, aber senden Sie eine E-Mail mit einem link zum zurücksetzen des Passworts. So würde Sie haben die E-Mail und bekannt, dass es war nicht Sie, die initiiert den reset, und dass Ihre Frage /Antwort war gefährdet.
In dem Fall, wo die E-Mail-Adresse nicht mehr gültig ist, sollte es warten, bis ein timeout ( einige Tage oder eine Woche ), bevor eine neue E-Mail angehängt werden, um ein Konto.
Senden einer Nachricht an einen anderen e-mail-Konto, oder text, der Ihr Handy, oder rufen Sie Sie, oder senden Sie eine snail-mail-Nachricht. Alles, was sich nicht um Angelegenheiten von öffentlichem Interesse oder Vorlieben, die sich jederzeit ändern können.
Gutes security-Fragen sind irreführend. Sie schaffen eine Schwachstelle in einem system. Wir sollten Sie nennen, diese sicheren Fragen. Erkennt jedoch an, dass das Risiko und Wert, die Sie anbieten, "gute" Fragen der Sicherheit sollte 4 Eigenschaften:
1. nicht leicht erraten oder recherchiert (safe),
2. Laufe der Zeit nicht ändert (stabil),
3. unvergesslich,
4. maßgeblich ist oder einfach.
Sie können mehr über diese auf http://www.goodsecurityquestions.com.
Hier ist eine Liste von gut, fair, und arm-security-Fragen.
IMO Geheimen Fragen sollten nur verwendet werden, als eine sehr schwache Kontrolle mit einer Frist als Teil eines Systems.
Ex: Passwort-reset-system.
Sie authentifiziert sind. Registrieren Sie Ihre Mobiltelefonnummer und Ihr Geheimnis(nicht so geheime) Antwort.
Sie Ihr Passwort vergessen haben.
Ihnen verlangen, um es zu entsperren.
a) Ihr "Nicht so geheim" - Frage fragt nach der "nicht so geheime Antwort".
b) Wenn richtig ist, wird eine text-Nachricht gesendet, um die vorab registrierten Handy.
Diese Weise, wenn Ihr Telefon gestohlen wird und auch Steuerelemente wie pin/lock auf dem Handy nicht funktioniert. Sie haben ein Maß von Verschleierung für den Angreifer zu bekommen, um das Kennwort zurückzusetzen, bis die Zeit, es wird berichtet das Handy verloren/gestohlen und kann deaktiviert werden.
Diese Anwendung ist, was ich denke, der einzige Zweck für die "nicht so geheim" Fragen/Antworten.
Also ich würde behaupten es gibt einen Ort in dieser Welt für Sie, und dass in der Regel ein system zu sein, muss die Diskussion.
Nur Fragen, die nicht auf den öffentlichen Aufzeichnungen.
immer senden Sie das Kennwort zurücksetzen, um eine registrierte E-Mail-Konto (das ist schwierig für einen E-Mail-Konto) oder senden Sie eine PIN-Nummer, um eine registerd Handy, oder ein link auf eine IM-Adresse, etc - im Grunde, erfassen einige weitere Kontakt Informationen zur Registrierung und verwenden Sie es zu senden "Passwort zurücksetzen" - link.
Nie, wenn jemand Ihr Kennwort ändern, direkt, immer stellen Sie sicher, Sie gehen durch einen zusätzlichen Schritt.
Wie etwa die Beantragung der Benutzer zur Eingabe Ihrer eigenen Sicherheit Frage und Antwort, und eine sekundäre E-Mail (nicht der, wo die Passwort-reset-link gesendet wird). Speichern Sie die Sicherheits-Frage und Antwort-Hash in der Datenbank, dass zusätzliche Schritt der Sicherheit.
Wenn der Benutzer vergisst sein Passwort, senden Sie die Passwort-reset-link des Benutzers primäre E-Mail -.
Benutzer klickt dann auf den link, der leitet, und bittet für die Sicherheits-Frage und Antwort. Wenn dieser Schritt erfolgreich ist, dann kann der Benutzer zum zurücksetzen seines Passworts. Wenn der Benutzer vergisst, die Sicherheit Frage/Antwort-senden Sie einen link zu zurücksetzen der Sicherheitsfrage/Antwort des Benutzers sekundäre E-Mail -.
Wenn der Angreifer erhält Zugriff auf eine der E-Mails, wird es immer noch nutzlos, ohne Zugriff auf die anderen (sehr unwahrscheinlich, dass die Angreifer bekommen Zugang zu beiden). Ich weiß, dieser Prozess benötigt eine Menge zusätzlicher arbeiten, sowohl auf der Entwickler und Anwender, aber ich denke, es lohnt sich. (Vielleicht könnten wir geben dem Benutzer empfohlen, die option zum aktivieren des Sicherheits-Frage/Antwort brauchen, wenn Sie dieses zusätzliche Stück Sicherheit.)
Quintessenz ist, dass, wie stark oder schwach dieses system funktioniert werden hängt stark auf die Benutzer. Die Stärke der Sicherheitsfrage/Antwort und wie gut die beiden E-Mails sind "gelöst" (das heißt, es gibt keine Möglichkeit, Zugang zu einer E-Mail durch das andere) entscheidet, diese Systeme Stärke.
Ich weiß nicht, ob es irgendwelche Probleme mit diesem Weg, es zu tun, aber wenn überhaupt, ich würde mich freuen, wenn jemand könnte diese aus 🙂
Ich lieber die Dinge einfach halten und verwenden Sie ein Ehre-system-Ansatz. Zum Beispiel werde ich präsentieren, den Benutzer mit so etwas wie,
Generieren einen hash enthält, der die person, die Benutzername und Passwort und sendet es über Https, die dem Benutzer als Datei. Der Benutzer speichert die Datei auf der Festplatte. Es liegt in Ihrer Verantwortung, speichern Sie diese Datei an einem sicheren Speicherort. Alternativ können Sie auch senden Sie es an Ihre E-Mail-Adresse, aber dies führt zu weniger Sicherheit. Wenn der Benutzer vergisst, seine Zugangsdaten müssen Sie dann hochladen dieser Datei. Sobald der server überprüft Benutzername und Kennwort, Sie erhalten dann einen dialog zum ändern Ihres Kennworts.
Aufgrund der Entwicklung der social-media -, Sicherheits-Fragen, die von websites, die sind zu leicht zu knacken. Da die meisten der Fragen sind persönliche Informationen, die leicht verfügbar ist auf social-media-Plattformen eine oder andere. Eine der alternativen zu vermeiden, account-hacking zu machen strenge Passwort-Regeln für die Anmeldung wie das hinzufügen von Sonderzeichen, numerische -, Kapital-Briefe usw. Diese Art von Passwörtern sind schwer zu entschlüsseln und zu verbessern können die Sicherheit zu einem großen Teil.
Aber es werden neue alternative Methoden, wie multi-Faktor-Authentifizierung ohne Passwort einloggen, SMS-Authentifizierung, etc. SMS-Authentifizierung ist Teil der multi-Faktor-Authentifizierung, wo ein Benutzer ein OTP auf seinem/Ihrem Handy, die er/Sie eingeben müssen, um sich in eine website. Dies ist eine sichere Weg, da der Zugriff von mobile ist auf die Benutzer beschränkt, nur(meistens). Ein weiteres multi-Faktor-Authentifizierung-Methode ist das versenden einer Bestätigungs-link per E-Mail vervollständigen Sie die Signatur im Prozess. Es ist ein sehr gut geschriebenes blog zu diesem Thema auf Medium erklärt, dass dieses Konzept in Ausführlicher Weise.