Frage:
Untergraben Sicherheitsfragen Passwörter?
trinithis
2011-05-22 02:30:27 UTC
view on stackexchange narkive permalink

Untergraben Sicherheitsfragen schwer zu knackende Passwörter? Wenn eine Site beispielsweise Kennwörter mit einem bestimmten Schema (Länge + erforderliche Zeichensätze) benötigt und eine Sicherheitsfrage hat, warum sollte jemand versuchen, das Kennwort anstelle der Sicherheitsfrage zu knacken? Ich gehe davon aus, dass die meisten Antworten auf diese Fragen kürzer sind und eine geringere Vielfalt an Zeichen aufweisen. Zum Beispiel ist "Mutters Mädchenname" (eine häufig gestellte Frage) normalerweise nicht so lang wie ein anständiges Passwort (selbst nachdem die Passwortanforderungen erfüllt wurden) und enthält oft nur Buchstaben. Wenn für eine Site eine Sicherheitsfrage erforderlich ist, füllen Sie diese am besten mit einer langen Zeichenfolge aus, die zufällige Zeichen enthält.

Dies ist eine übliche Methode für Neulinge, sich in das Konto der Leute zu hacken. Sie knacken ihre E-Mails mit der "geheimen" Antwort und fordern dann einfach neue Passwörter per E-Mail an. Nimmt alle Sicherheit mit E-Mail-Passwörtern weg, wenn das E-Mail-Passwort selbst nicht sicher ist
Erinnert mich an [Wie Paris gehackt wurde] (http://www.oreillynet.com/pub/a/mac/2005/01/01/paris.html).
Beachten Sie, dass die Antworten auf diese Fragen nicht nur kürzer als Passwörter sind, sondern in der Regel Wörterbuchwörter sind und aus einer begrenzten Anzahl von Wörtern stammen. (z. B. "Lieblingsfarbe" ...). Das Wissen um eine Person würde es auch noch einfacher machen, die Antworten zu "erraten" ... Und noch schlimmer, diese Antworten werden oft mit anderen Websites geteilt (als Antworten auf "Sicherheitsfragen" !!) ... ganz zu schweigen von viel es ist öffentlich bekannt.
Systeme zum Zurücksetzen von Passwörtern scheinen so oft die Schwachstelle von Systemen zu sein. Mit Barclaycard können sowohl der Benutzername als auch das Passwort NUR mit den Informationen auf der Karte zurückgesetzt werden. Einmal in einem Angreifer könnte dann die Kreditkartenrechnung von MEINEM Girokonto bezahlen! Der einzige Speicherpunkt ist, wenn Sie davon ausgehen, dass ich den Verlust der Karte bemerken und stoppen würde.
Sieben antworten:
Vineet Reynolds
2011-05-22 02:50:21 UTC
view on stackexchange narkive permalink

Die Art und Weise, in der Sicherheitsfragen von einer Site verwendet werden, bestimmt, ob sie den vermeintlich stärkeren Authentifizierungsmechanismus (der Verwendung guter Kennwörter) untergraben.

In der Regel Systeme, die den Zugriff auf Benutzer nach deren Verwendung ermöglichen beantwortete eine Sicherheitsfrage, sind schwächer als Systeme, die dem Benutzer ein (temporäres) Passwort über einen (anderen und sicheren) Kanal übermitteln würden. Die vorherige Aussage vermittelt eine bewährte Methode, und bestimmte Systeme müssen nicht alle implementieren. Einige Systeme stellen ein neues Kennwort bereit (das von einem Benutzer nicht geändert werden muss), und es gibt andere Systeme, die das Kennwort über einen unsicheren Kanal kommunizieren.

Das Ausfüllen einer Sicherheitsfrage mit zufälligen Zeichen ist nicht unbedingt erforderlich Ein guter Ansatz (obwohl er besser ist als eine kleinere Antwort mit geringer Entropie), da er es schwierig macht, sich zu erinnern, was zu einem möglichen Aussperrungsszenario führt (von dem aus dies oft kein Punkt der Wiederherstellung ist). Es ist zu beachten, dass Sicherheitsfragen im Gegensatz zu Kennwörtern häufig nicht regelmäßig geändert werden. Die Antwort hängt daher davon ab, wie gut die Antwort geschützt ist (sowohl vom Benutzer als auch vom System), wie öffentlich die Antwort tatsächlich ist und wie häufig die Frage (und Antwort) geändert werden kann.

Lesen Sie diese bezogene StackOverflow-Frage wird empfohlen, um in den Antworten die Out-of-Band-Kommunikation zu erörtern, unter anderem das potenzielle Sperrszenario.

Aus Sicht des persönlichen Gebrauchs und der Benutzererziehung ist es auch eine gute Idee, einen Passwort-Manager zu verwenden, um eine starke zufällige Antwort auf eine geheime Frage zu speichern (da Sie oft keine andere Wahl haben, als eine zu setzen, und sie nicht außerhalb des Bandes anbieten). Denken Sie in Ihrem Angriffsbaum mit Out-of-Band auch daran, dass jemand, der das Handy des Benutzers hat und Sie eine SMS oder E-Mail senden, nicht wirklich außerhalb des Bandes ist
tdammers
2011-05-22 02:42:46 UTC
view on stackexchange narkive permalink

Ja.

Ein besserer Name für diese "Sicherheits" -Fragen wären "Convenience-Fragen". Sie sind eine alternative Möglichkeit, unter Umgehung des Kennworts auf dasselbe Konto zuzugreifen. Da Antworten auf solche Fragen in der Regel aus vorhandenen Wörtern bestehen, sind sie das perfekte Ziel für Wörterbuchangriffe oder auch nur für einfache Vermutungen. Es wird noch schlimmer, wenn der Angreifer bereits einige persönliche Daten hat.

Das Beste, was Sie tun können, wenn Sie etwas abonnieren müssen, das eine "Sicherheitsfrage" darstellt (und es obligatorisch macht), ist in der Tat, einfach einzugeben eine wirklich lange Folge von Müllzeichen.

nealmcb
2015-05-29 20:49:01 UTC
view on stackexchange narkive permalink

Eine Studie aus dem Jahr 2015, die auf der Bereitstellung von Fragen zu persönlichem Wissen durch Google basiert, enthält zahlreiche Belege für die vielen Probleme, die damit verbunden sind: Geheimnisse, Lügen und Wiederherstellung von Konten: Lehren aus der Verwendung von Fragen zu persönlichem Wissen bei Google

Einige Ergebnisse:

  • Geheime Fragen bieten im Allgemeinen eine Sicherheitsstufe, die weit unter den vom Benutzer ausgewählten Passwörtern liegt.
  • ein erheblicher Teil der Benutzer ( 37%), die zugaben, falsche Antworten gegeben zu haben, taten dies, um sie "schwerer zu erraten" zu machen, obwohl dieses Verhalten insgesamt den gegenteiligen Effekt hatte, da die Leute ihre Antworten auf vorhersehbare Weise "verhärten"
  • geheim halten Antworten haben eine überraschend schlechte Einprägsamkeit mit einer Erfolgsrate von 60% gegenüber 80% für SMS-Rücksetzcodes.
  • Fragen, die möglicherweise am sichersten sind (z. B. was ist Ihre erste Telefonnummer), sind auch diejenigen mit der schlechteste Einprägsamkeit

Sie kommen zu dem Schluss, dass es

nahezu unmöglich erscheint, geheime Fragen zu finden, die b andere sicher und unvergesslich. Geheime Fragen können in Kombination mit anderen Signalen weiterhin verwendet werden. Sie sollten jedoch nicht allein verwendet werden, und bewährte Verfahren sollten zuverlässigere Alternativen bevorzugen.

Andreas
2011-05-22 02:33:31 UTC
view on stackexchange narkive permalink

Wenn Sie möchten, dass es nicht beantwortet werden kann? Bei den meisten dieser Websites müssen Sie das Kennwort ohnehin per E-Mail zurücksetzen. Daher benötigen Sie Ihre E-Mail-Informationen, um irgendwohin zu gelangen. Die Antwort besteht hauptsächlich darin, zu verhindern, dass Sie durch ständiges Zurücksetzen des Kennworts gestört werden.

Wenn Sie können ein Passwort nur dann durch "geheime" Frage zurücksetzen, wenn dies eine schlechte Sicherheit ist.

Nun, viele E-Mail-Sites (wie Hotmail) verwenden diese Funktion. Es wäre für sie nutzlos, eine E-Mail mit dem Passwort zu senden (es sei denn, Sie haben eine alternative E-Mail-Adresse angegeben).
Die meisten E-Mail-Sites (meines Wissens) verwenden aus solchen Gründen alternative E-Mail-Adressen. Wenn nicht, stellen Sie sicher, dass Ihre Frage und Antwort tatsächlich schwer zu knacken ist. Aber dann kehren wir zurück zu dem Grund, warum Sie sich nicht zuerst Ihr Passwort merken.
@Andreas, wie ich bereits sagte, zumindest Hotmail. Sind sie nicht immer noch die größten?
+1, weil ich damit einverstanden bin, dass diese Fragen ** SCHLECHT FÜR SICHERHEIT ** sind. Sichere Passwörter sind völlig sinnlos, wenn bei den sogenannten Sicherheitsfragen nach "privaten" Informationen gefragt wird, die für einen Hacker leicht zu erhalten wären. Sicher, Sie können lügen oder Kauderwelsch ausfüllen, aber die Chancen stehen gut, dass Sie diese Informationen verlieren, wenn Sie das Passwort verlieren. Es macht mich verrückt (** verrückt, ** ich sage es Ihnen!), Websites zu sehen, die sagen, dass sie "die Sicherheit erhöhen", indem sie diese Fragen hinzufügen, wenn sie genau das Gegenteil tun.
Yaur
2011-05-22 02:44:55 UTC
view on stackexchange narkive permalink

Ja. Wenn aus keinem anderen Grund sowohl Ihr Passwort als auch Ihre geheime Frage / Antwort gemeinsame Geheimnisse sind und die Best Practice vorschreibt, dass Sie diese Geheimnisse nicht an Dritte weitergeben, müssen Sie genau dies tun, wenn Sie eine geheime Frage stellen /answer.

Anstatt "Anweisungen zu befolgen", sollten Sie einen einfachen Algorithmus entwickeln, mit dem Sie die Antwort anhand der Frage, des Site-Namens und der tatsächlichen Antwort generieren können.

Diese Antwort liefert einen weiteren Grund, der übersehen wird.
Dabs
2012-05-19 12:03:44 UTC
view on stackexchange narkive permalink

Meine geheimen Fragen lauten normalerweise "Wie lautet Ihr Passwort?" Und dann ist die Antwort tatsächlich etwas anderes.

Ich mache die Antwort so zufällig wie möglich und so lange wie möglich und speichere sie zusammen mit dem Passwort selbst. Wenn Zahlen nicht erlaubt sind, verwende ich alle Buchstaben. Normalerweise mache ich die meisten von ihnen etwa 20 bis 30 alphanumerische Zeichen lang.

Dies mache ich mit webbasierten E-Mails (Google Mail) und all meinen Bankkennwörtern. Meine Bank ist anfällig für Denial-of-Service-Angriffe (falsche Passwörter blockieren meine Benutzer-ID), daher hätte ich eine Benutzer-ID auswählen sollen, die ebenfalls zufällig und maximal lang ist und ebenfalls geheim gehalten wird.

Rebeca
2015-06-01 22:29:06 UTC
view on stackexchange narkive permalink

Ja, es ist besser, es mit einer langen Zeichenfolge mit zufälligen Zeichen auszufüllen, als die eigentliche Frage zu beantworten oder eine kurze Antwort zu geben. Wenn Sie sich für diesen Ansatz entschieden haben, müssen Sie sich daran erinnern, da es sehr wahrscheinlich ist, dass Sie ihn vergessen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...