Frage:
Wie werden nicht optionale Sicherheitsfragen behandelt?
Tobias Kienzler
2013-01-28 17:37:01 UTC
view on stackexchange narkive permalink

Hin und wieder muss ich ein Konto auf einer Site einrichten, das mein Passwort zwar zumindest nicht im Klartext speichert, mich aber dennoch dazu zwingt, aus einer begrenzten Anzahl von Sicherheitsfragen auszuwählen, die für die Passwortwiederherstellung verwendet werden können Zwecke. Da die Fragen normalerweise durch Googeln oder Social Engineering leicht zu beantworten sind (à la "Wie lautet der Mädchenname Ihrer Mutter?"), Was ist der richtige Ansatz, wenn ich die Verwendung dieses Kontos nicht vermeiden kann?

Vier antworten:
Thomas Pornin
2013-01-28 18:40:01 UTC
view on stackexchange narkive permalink

"Sicherheitsfragen" sind nur ein alternatives Passwort, das nicht oft verwendet wird, aber vermutlich vom Benutzer nicht vergessen wird. Da es sich bei um eine kennwortäquivalente Information handelt, behandeln Sie sie als solche: Verwenden Sie echte Kennwörter mit hoher Entropie als Antwort auf Sicherheitsfragen. Da Sie diese nicht oft eingeben, sollten Sie sie natürlich auf ein Papier schreiben, das an einem sicheren Ort aufbewahrt wird (sie sollen als Backup für das "wahre" Passwort verwendet werden; Sie benötigen sie nicht oft).

(Hinweis: Die meisten Systeme behandeln Antworten auf Sicherheitsfragen ohne Berücksichtigung der Groß- und Kleinschreibung, wodurch die "Entropie" dieses Kennworts verringert wird. Daher wird es noch zufälliger. 15 zufällige Buchstaben würden ausreichen .)

Auf einer Website habe ich die gleichen "Sicherheitsfragen" online wie am Telefon verwendet. Das sorgte für ein seltsames Gespräch, als ich erklären musste, dass der Mädchenname meiner Mutter eine Mischung aus Zahlen, nicht alphanumerischen Zeichen und Buchstaben war. (Dies ist übrigens ein Beispiel für schlechte Praktiken. Verwenden Sie niemals vollständige Sicherheitsfragen am Telefon und online.)
Aufgrund der Groß- und Kleinschreibung und der von @Callum's erwähnten Probleme am Telefon können einige [Passphrasengeneratoren] (http://preshing.com/20110811/xkcd-password-generator) anstelle eines Passes hilfreich sein (** bearbeiten ** Seit Ich habe es in meinem Kommentar verwendet, Sie werden möglicherweise viel Spaß haben, wenn Sie (ab) Unicode verwenden ...)
Also, zufällige Daten im Passwort-Manager zusammen mit Passwörtern gut genug gespeichert? @Callum Ja, ich kenne ein paar Banken, die das tun.
Mein persönlicher Favorit ist eine Website, die mich, weil "OMG Keyloggers" mich dazu drängte, eine von ~ 20 Standardantworten für ihre Unsicherheitsfragen auszuwählen. Völlig entsetzt tippte ich meine eigenen Antworten ein und stellte fest, dass ich bei Verwendung anstelle eines Textfelds ein Dropdown-Menü mit 3 der Standardeinstellungen und meiner manuell eingegebenen Antwort erhielt.
Tobias Kienzler
2013-01-28 17:37:58 UTC
view on stackexchange narkive permalink

Meine aktuelle "Lösung" besteht darin, einen willkürlich langen, sinnlosen Satz einzugeben, an den ich mich nicht einmal erinnern möchte, und stattdessen diesen und mein Passwort in (separaten) KeePass-Dateien zu speichern und mich möglicherweise beim Webmaster darüber zu beschweren. Auf diese Weise ist es unwahrscheinlich, dass jemand anderes die "sichere" Frage ohne weniger Aufwand beantworten kann, als zu versuchen, mein Passwort direkt zu knacken, aber ich bin immer noch nicht sehr zufrieden damit ...

Rory Alsop
2013-01-28 18:36:39 UTC
view on stackexchange narkive permalink

Ich habe verschiedene Leute gesehen, die all dies nur mit Müll gefüllt haben, um sicherzustellen, dass niemand sie verwenden kann, um den Zugang sozial zu gestalten.

Es bedeutet, dass Sie besonders vorsichtig sein müssen, dies nicht zu tun Vergessen Sie Ihren Benutzernamen / Ihr Passwort, da Sie möglicherweise keine Rückfallroute haben :-)

Deshalb könnte es nützlich sein, diesen "Müll" irgendwo aufzubewahren. obwohl dieser Speicher genauso gut Ihr tatsächliches Passwort enthalten könnte - es sei denn, der Anbieter beschließt, einen globalen Passwort-Reset durchzuführen, auf den nur durch Beantwortung der Sicherheitsfrage m- / zugegriffen werden kann
Duncan
2013-01-28 18:51:18 UTC
view on stackexchange narkive permalink

Stellen Sie sich eine Liste mit Fragen vor, die Ihrer Meinung nach gute Sicherheitsfragen für Sie sind. Verwenden Sie diese an den besseren Standorten, an denen Sie Ihre eigenen Sicherheitsfragen formulieren können. ZB Bens Auto in HS?. Ordnen Sie für die Websites mit den schwachsinnigen Fragen (z. B. den Mädchennamen der Mutter) ihre Fragen Ihren Fragen zu. Die Antwort auf Mutters Mädchennamen könnte also "1960" sein (da ich mich erinnere, wie alt Bens Auto war). Sie können jedes Mal dieselbe Zuordnung verwenden (dh der Mädchenname entspricht immer 1960) oder Sie verwechseln sie und behalten einfach den 'Schlüssel' (dh welche schwachsinnige Frage zu welcher echten Frage gehört).

Das Problem mit einem gemeinsamen Geheimnis ist, dass es kein Geheimnis sein kann, wenn es öffentlich ist. Mit dem oben Gesagten können Sie das "Geheimnis" in die Fragenzuordnung verschieben.

Die Sache ist, wenn ich anfange, ihre Sub-Raffinesse einer "guten" Frage zuzuordnen, die ich aufschreiben muss, könnte ich die Antwort genauso gut mit hochentropischem Zeug füllen und stattdessen _that_ aufschreiben ...
Wahr. Und nichts davon wird einen Keylogger schlagen. Multi-Faktor ist wirklich das, was für ein angemessenes Maß an Vertrauen verwendet werden sollte.
Einverstanden. Aber sagen Sie das den meisten Websites Sicherheits "Berater" m- /


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...