Die Art und Weise, in der Sicherheitsfragen von einer Site verwendet werden, bestimmt, ob sie den vermeintlich stärkeren Authentifizierungsmechanismus (der Verwendung guter Kennwörter) untergraben.

In der Regel Systeme, die den Zugriff auf Benutzer nach deren Verwendung ermöglichen beantwortete eine Sicherheitsfrage, sind schwächer als Systeme, die dem Benutzer ein (temporäres) Passwort über einen (anderen und sicheren) Kanal übermitteln würden. Die vorherige Aussage vermittelt eine bewährte Methode, und bestimmte Systeme müssen nicht alle implementieren. Einige Systeme stellen ein neues Kennwort bereit (das von einem Benutzer nicht geändert werden muss), und es gibt andere Systeme, die das Kennwort über einen unsicheren Kanal kommunizieren.

Das Ausfüllen einer Sicherheitsfrage mit zufälligen Zeichen ist nicht unbedingt erforderlich Ein guter Ansatz (obwohl er besser ist als eine kleinere Antwort mit geringer Entropie), da er es schwierig macht, sich zu erinnern, was zu einem möglichen Aussperrungsszenario führt (von dem aus dies oft kein Punkt der Wiederherstellung ist). Es ist zu beachten, dass Sicherheitsfragen im Gegensatz zu Kennwörtern häufig nicht regelmäßig geändert werden. Die Antwort hängt daher davon ab, wie gut die Antwort geschützt ist (sowohl vom Benutzer als auch vom System), wie öffentlich die Antwort tatsächlich ist und wie häufig die Frage (und Antwort) geändert werden kann.

Lesen Sie diese bezogene StackOverflow-Frage wird empfohlen, um in den Antworten die Out-of-Band-Kommunikation zu erörtern, unter anderem das potenzielle Sperrszenario.

Ja.

Ein besserer Name für diese "Sicherheits" -Fragen wären "Convenience-Fragen". Sie sind eine alternative Möglichkeit, unter Umgehung des Kennworts auf dasselbe Konto zuzugreifen. Da Antworten auf solche Fragen in der Regel aus vorhandenen Wörtern bestehen, sind sie das perfekte Ziel für Wörterbuchangriffe oder auch nur für einfache Vermutungen. Es wird noch schlimmer, wenn der Angreifer bereits einige persönliche Daten hat.

Das Beste, was Sie tun können, wenn Sie etwas abonnieren müssen, das eine "Sicherheitsfrage" darstellt (und es obligatorisch macht), ist in der Tat, einfach einzugeben eine wirklich lange Folge von Müllzeichen.

Eine Studie aus dem Jahr 2015, die auf der Bereitstellung von Fragen zu persönlichem Wissen durch Google basiert, enthält zahlreiche Belege für die vielen Probleme, die damit verbunden sind: Geheimnisse, Lügen und Wiederherstellung von Konten: Lehren aus der Verwendung von Fragen zu persönlichem Wissen bei Google

Einige Ergebnisse:

• Geheime Fragen bieten im Allgemeinen eine Sicherheitsstufe, die weit unter den vom Benutzer ausgewählten Passwörtern liegt.
• ein erheblicher Teil der Benutzer ( 37%), die zugaben, falsche Antworten gegeben zu haben, taten dies, um sie "schwerer zu erraten" zu machen, obwohl dieses Verhalten insgesamt den gegenteiligen Effekt hatte, da die Leute ihre Antworten auf vorhersehbare Weise "verhärten"
• geheim halten Antworten haben eine überraschend schlechte Einprägsamkeit mit einer Erfolgsrate von 60% gegenüber 80% für SMS-Rücksetzcodes.
• Fragen, die möglicherweise am sichersten sind (z. B. was ist Ihre erste Telefonnummer), sind auch diejenigen mit der schlechteste Einprägsamkeit

Sie kommen zu dem Schluss, dass es

nahezu unmöglich erscheint, geheime Fragen zu finden, die b andere sicher und unvergesslich. Geheime Fragen können in Kombination mit anderen Signalen weiterhin verwendet werden. Sie sollten jedoch nicht allein verwendet werden, und bewährte Verfahren sollten zuverlässigere Alternativen bevorzugen.

Wenn Sie möchten, dass es nicht beantwortet werden kann? Bei den meisten dieser Websites müssen Sie das Kennwort ohnehin per E-Mail zurücksetzen. Daher benötigen Sie Ihre E-Mail-Informationen, um irgendwohin zu gelangen. Die Antwort besteht hauptsächlich darin, zu verhindern, dass Sie durch ständiges Zurücksetzen des Kennworts gestört werden.

Wenn Sie können ein Passwort nur dann durch "geheime" Frage zurücksetzen, wenn dies eine schlechte Sicherheit ist.

Ja. Wenn aus keinem anderen Grund sowohl Ihr Passwort als auch Ihre geheime Frage / Antwort gemeinsame Geheimnisse sind und die Best Practice vorschreibt, dass Sie diese Geheimnisse nicht an Dritte weitergeben, müssen Sie genau dies tun, wenn Sie eine geheime Frage stellen /answer.

Anstatt "Anweisungen zu befolgen", sollten Sie einen einfachen Algorithmus entwickeln, mit dem Sie die Antwort anhand der Frage, des Site-Namens und der tatsächlichen Antwort generieren können.

Meine geheimen Fragen lauten normalerweise "Wie lautet Ihr Passwort?" Und dann ist die Antwort tatsächlich etwas anderes.

Ich mache die Antwort so zufällig wie möglich und so lange wie möglich und speichere sie zusammen mit dem Passwort selbst. Wenn Zahlen nicht erlaubt sind, verwende ich alle Buchstaben. Normalerweise mache ich die meisten von ihnen etwa 20 bis 30 alphanumerische Zeichen lang.

Dies mache ich mit webbasierten E-Mails (Google Mail) und all meinen Bankkennwörtern. Meine Bank ist anfällig für Denial-of-Service-Angriffe (falsche Passwörter blockieren meine Benutzer-ID), daher hätte ich eine Benutzer-ID auswählen sollen, die ebenfalls zufällig und maximal lang ist und ebenfalls geheim gehalten wird.

Ja, es ist besser, es mit einer langen Zeichenfolge mit zufälligen Zeichen auszufüllen, als die eigentliche Frage zu beantworten oder eine kurze Antwort zu geben. Wenn Sie sich für diesen Ansatz entschieden haben, müssen Sie sich daran erinnern, da es sehr wahrscheinlich ist, dass Sie ihn vergessen.