Frage:
Warum wird der Mädchenname der Mutter immer noch als Sicherheitsfrage verwendet?
Alexei
2018-05-16 19:19:32 UTC
view on stackexchange narkive permalink

Von Zeit zu Zeit werden einige Websites aufgefordert, eine Sicherheitsfrage und eine Antwort darauf einzugeben. Die Fragenliste ist Standard und enthält normalerweise "Wie lautet der Mädchenname Ihrer Mutter?".

Einige Personen verwenden den echten Mädchennamen ihrer Mutter, damit sie sicher sind, dass sie sich daran erinnern können, was sie angeben sollen, wenn sie gefragt werden (z. B. als Teil des Prozesses zur Wiederherstellung des Kontos). Dies bedeutet, dass diese Informationen über einen sehr langen Zeitraum fixiert sind. Wenn eine Webanwendung gehackt wird und eine solche Antwort mit einer E-Mail-Adresse (oder schlimmer noch mit persönlich identifizierbaren Informationen) verknüpft ist, kann dies möglicherweise zu einer Sicherheitsanfälligkeit für andere Webanwendungen führen.

Auch Der Mädchenname der Mutter kann im öffentlichen Raum geteilt werden.

Angenommen, die oben genannten Probleme mit dieser Sicherheitsfrage (oder einer anderen Sicherheitsfrage, die auf einer Konstante im eigenen Leben beruht):

Warum wird der Mädchenname der Mutter immer noch als Sicherheitsfrage verwendet?

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/77755/discussion-on-question-by-alexei-why-is-mothers-maiden-name-still-used-as-eine Sekunde).
Eine Sicherheitsfrage ist nur eine Frage.Wir müssen nicht davon ausgehen, dass jeder mit dem tatsächlichen Mädchennamen antwortet.
@papakias Dann können Sie die Frage auch durch "Bitte geben Sie eine Zeichenfolge ein und merken Sie sie sich" ersetzen.Oh warte, das sind Passwörter.Der Punkt bei Sicherheitsfragen ist, dass Sie sie nicht auswendig lernen müssen, da sie Dinge sind, die Sie bereits kennen. Sie können sie also nicht vergessen, wie Sie ein Passwort vergessen haben.
@Jonah Nun, es kann sein, was Sie sagen, aber es kann auch ein zusätzliches (leichter zu merkendes) Passwort für die Wiederherstellung sein.Nur weil sie nach dem Mädchennamen einer Mutter fragen, heißt das nicht, dass ich ihnen den richtigen geben werde.Das ist mein Punkt
@papakias Die Idee hinter Sicherheitsfragen ist, dass Sie sie auch Jahre später immer beantworten können, ohne sich an den Text erinnern zu müssen, den Sie bei der Erstellung ausgewählt haben.Andernfalls würden sie anstelle einer Sicherheitsfrage ein zweites Passwort verwenden.Wenn Sie in Sicherheitsfragen keine echten Antworten eingeben, ist es besser, überhaupt nichts einzugeben, wenn dies zulässig ist, oder etwas sehr Langes und Zufälliges einzugeben, nur um die Sicherheitsfrage zu "deaktivieren".Vielleicht trifft dies nicht auf Sie zu, aber die große Mehrheit der Menschen wird sich nicht daran erinnern, welchen Namen sie vor Jahren eingegeben haben.
@SantiBailors Ja Leute, ich bin nicht anderer Meinung als du.Ich betone nur, dass das Ausfüllen der richtigen Antworten nicht immer der Fall ist.Die Sicherheitsfrage ist nur ein Werkzeug.Und jeder kann es anders benutzen.
@Strawberry - Die meisten Leute [verwenden keine Passwort-Manager] (http://www.pewinternet.org/2017/01/26/2-password-management-and-mobile-security/), um ihre Passwörter zu behalten, also ichIch wette, viele verwenden den richtigen Namen, damit sie ihn nicht vergessen.
@Strawberry - Ich habe den Beitrag korrigiert, um genauer zu sein.
Acht antworten:
Anders
2018-05-16 19:30:39 UTC
view on stackexchange narkive permalink

Weil die Leute faul und / oder inkompetent sind. Und nun, Sie wissen, das Internet ist voller Schimpansen.

Ich würde argumentieren, dass alle Sicherheitsfragen schlecht sind, aber die Verwendung des Mädchennamens der Mutter ist außergewöhnlich schlecht:

  • Zumindest in Schweden kann ich den Mädchennamen eines jeden nur durch einen einfachen Anruf beim Finanzamt herausfinden. Es handelt sich buchstäblich um öffentliche Informationen.
  • Es ist 2018 und es ist ziemlich üblich, dass Paare den Namen der Braut annehmen, wenn sie heiraten. Der Mädchenname Ihrer Mutter ist dann Ihr Nachname. Großartig.

  • Luis Casillas fügt zu Recht hinzu:

    Es gibt Dutzende von Ländern mit Milliarden von Einwohnern, in denen Frauen nicht anziehen Ändern Sie nicht ihren legalen Namen, wenn sie heiraten. Insbesondere in den Vereinigten Staaten gibt es riesige Minderheiten von Einwanderern aus solchen Ländern.

Im Ernst, dafür gibt es keine Ausreden. Es ist nur schlecht.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/77756/discussion-on-answer-by-anders-why-is-mothers-maiden-name-still-used-as-a-secur).
Rich
2018-05-18 06:27:37 UTC
view on stackexchange narkive permalink

"Sicherheitsfragen" sind möglicherweise die einzige Lösung für ein schwieriges Problem. Sie haben einen Kunden, der sein Passwort (und seinen E-Mail-Zugang) verloren hat und beide möchten ihn zurückbekommen.

Es ist möglicherweise nicht verhältnismäßig, sie in Ihrem Büro oder bei einem Notar persönlich überprüfen zu lassen. Dies wäre wirklich die einzige absolut sichere Lösung (Abgleich der sicheren Regierungs-ID mit ihrem Erscheinungsbild / ihrer Biometrie).

Ich denke, Banken (zum Beispiel), die diese Art der Überprüfung verwenden, haben ziemlich gute Statistiken über die Prävalenz jeder Art von Betrug und kennen die Risiken und Vorteile (z. B. sagen, meine Bank muss mich wann identifizieren Wenn sie nach Übersee reisen, können sie das nicht und sie verlieren mir einen Kunden zusammen mit Zehntausenden an lebenslangen Gewinnen - im Gegensatz dazu erlauben sie die betrügerische Verwendung einer Karte und verlieren Zehntausende direkt - aber sie wissen, dass nur 5% der gekennzeichneten Transaktionen tatsächlich betrügerisch sind. .

Genau!Jeder stützt sich darauf, wie schlecht der Ansatz ist, aber es sollte anerkannt werden, dass dies ein grundlegend schwieriges Problem ist, ohne zusätzliche Identifikationselemente einzuführen.
+1 für eine pragmatische Antwort, die die allgegenwärtige Notwendigkeit anerkennt, Sicherheit mit Bequemlichkeit in Einklang zu bringen.
Tatsächlich würde eine Bank, die jedem, der den Mädchennamen meiner Mutter kennt, Zugang zu meinem Konto gewährt, mich als Kunden noch schneller verlieren
"(Abgleich der sicheren Regierungs-ID mit ihrem Aussehen / ihrer Biometrie)" ... Regierungs-IDs können gefälscht sein oder verloren gehen.Aussehen und Biometrie können sich ändern.Menschen können Finger, Gliedmaßen oder Augen verlieren.ihr Gesicht kann bis zur Unkenntlichkeit beschädigt werden;Sie können große Mengen an Gewicht zunehmen oder verlieren.Sogar ihre Schädelform kann beschädigt werden, was die Biometrie nicht erkennen würde.Das Beharren auf Biometrie [wie das Beharren auf einem Nachnamen] (https://www.kalzumeus.com/2010/06/17/falsehoods-programmers-believe-about-names/) wird für viele Menschen funktionieren, aberwird irgendwann scheitern.
@HagenvonEitzen Die Bank kümmert sich nicht um Sie als einzelnen Kunden.Sie kümmern sich um ihre Gesamtgewinne.Wenn sie im Durchschnitt mehr Gewinn aus den Kunden ziehen, die sie durch geeignete Sicherheitsmaßnahmen behalten, als die Verluste, die sie bei Personen erleiden, die das Unternehmen verlassen, und / oder betrügerische Transaktionen, die sie abdecken müssen, ist eine solche Richtlinie sinnvoll.Beachten Sie auch, dass Banken im Allgemeinen (und nicht Sie als Kunde) haften, wenn ein Konto betrügerisch verwendet wird.
@JonBentley _Die Bank kümmert sich nicht um Sie als einzelnen Kunden ._ Das ist leider richtig und der Grund, warum solche Banken keine Probleme haben, Sie wegen ihres Gesamtgewinns Betrug auszusetzen.Wenn ihre Richtlinien so viel Sinn machten, sollten sie, wenn sie Ihnen ein Internetbanking-Konto anbieten, unter den Klauseln, mit denen Sie sich anmelden, keine Probleme haben, die Informationen hinzuzufügen, dass Ihr Konto für jeden zugänglich ist, der den Mädchennamen Ihrer Mutter kennt.aber aus irgendeinem Grund fügen sie diese Informationen nicht hinzu;wahrscheinlich, weil es doch nicht so normal ist, nur üblich.
@JonBentley Das ist beruhigend zu wissen.Zumindest hat niemand schlechte Gefühle, wenn ich eine Bank mit extrem dummen Formen des Sicherheitstheaters verlasse
ste-fu
2018-05-16 19:30:30 UTC
view on stackexchange narkive permalink

Lethargie und / oder Trägheit

Ernsthaftere Institutionen verließen sich darauf, dass diese Informationen einige Jahrzehnte lang im Wesentlichen geheim waren. Das Zeitalter von Massenverstößen gegen Daten ist sehr neu.

Die meisten Unternehmen reagieren nur langsam auf Änderungen.

Einfach wie

_Mehr ernsthafte Institutionen haben sich darauf verlassen, dass diese Informationen für einige Jahrzehnte im Wesentlichen geheim sind. _ Haben Sie einen Hinweis darauf, wie Beispiele dafür oder Erklärungen, die gegeben wurden, um dies zu rechtfertigen?Nicht weil ich es bezweifle, im Gegenteil, ich kann es kaum erwarten, die Ausreden zu lesen, die wir in der Vergangenheit für uns selbst gefunden haben, um uns zu erlauben, zu denken, dass das in Ordnung war.
Entschuldigung - keine Referenzen, nur persönliche Erinnerung daran, dass ich nach diesen Informationen gefragt wurde, um meine Identität vor dem Internet zu überprüfen.
@ste-fu Ich wollte mit demselben Gedanken antworten.Viele geheime Fragen sind jetzt in der Wildnis.
Ernsthaftere Institutionen * in den USA * vertrauten darauf, dass diese Informationen für einige Jahrzehnte im Wesentlichen geheim waren.Andere Länder betrachten diese Art von Informationen nicht als geheim.Schweden zum Beispiel veröffentlicht alles online.
@RobRose Ich bin in Großbritannien ... historisch war es möglich, alle möglichen Dinge zu finden.Sie können weiterhin eine Kopie der Geburtsurkunde eines anderen anfordern, müssen jedoch bezahlen.Es war nicht bequem.
Tom
2018-05-17 13:15:24 UTC
view on stackexchange narkive permalink

Falsche Annahmen.

Sicherheitsfragen basieren ebenso wie "komplexe" Kennwortanforderungen auf Best Practices, sind es aber nicht. Wie eine mündliche Überlieferung werden viele dieser Praktiken von einer Sicherheitsperson zur nächsten weitergegeben und selten in Frage gestellt (wenn sie befragt werden, stellt sich oft heraus, dass sie falsch sind).

Sicherheitsfragen sind eine davon diese Dinge. Jemand hatte eine vernünftige Idee, und sehr bald entwickelte sich eine ziemlich standardmäßige Liste solcher Fragen, und seitdem hat jeder im Grunde genommen von dort kopiert, ohne zu fragen.

Also ja, Sie haben Recht, dies und fast Jede andere "Sicherheitsfrage" ist eine Gefahr und in der Regel viel, viel einfacher herauszufinden als selbst ein schwaches Passwort (z. B. alles, was nicht auf der Top-20-Liste steht).

Harper - Reinstate Monica
2018-05-21 02:03:07 UTC
view on stackexchange narkive permalink

Benutzerfreundlichkeit über Sicherheit, leider

Die Banken möchten sicher sein, sehen sich jedoch einer Kundschaft gegenüber, für die Benutzerfreundlichkeit obligatorisch ist .

Diese Kundschaft besteht nicht aus unseren Kollegen. Dazu gehören diejenigen, die "die Gub'mint" fürchten, Senioren, die Veränderungen nicht verstehen und sich ihnen widersetzen, geistig behinderte Menschen, die Jahre gebraucht haben, um dieses System zu lernen und einfach kein anderes Programm verarbeiten können, ganz zu schweigen von Mitarbeitern zB jemand, der mit Vollmacht für einen Nachlass oder eine behinderte Person handelt. Welches System Sie auch entwickeln, es muss für alle diese Personen zugänglich sein, es sei denn, Sie möchten Zugriffsebenen haben. Wir haben den kleinsten gemeinsamen Nenner oder fahren mit der Geschwindigkeit des langsamsten Schiffes.

Geld über Sicherheit: Haftungsverschiebung

Das Bankensystem basiert weitaus mehr auf Vertrauen , als irgendjemand zugeben möchte. Betrug wird von sehr aktivem Sicherheitspersonal eingedämmt, das dem Bären nicht entkommen muss . Wenn die Bankensicherheit gerade gut genug ist, dass Angreifer auf ein einfacheres Mittel zum Geldverdienen umsteigen, gewinnt die Bank. Dieser Verbrecher, der die Bank angegriffen hätte, droht stattdessen, ein IRS-Agent zu sein, und bringt einen Rentner dazu, freiwillig Western Union ihre Lebensersparnisse zukommen zu lassen. Dieser Rentner kann nicht zur Bank zurückkehren und sein Geld zurückfordern, also ist die Bank im klaren.

Diese Art der "Haftungsverschiebung" ist ein wichtiger Bestandteil der Bankstrategie. Alles, was sie tun, wird die Haftung von der Bank weg verlagern. Sie haben keinen Anreiz, ein stärkeres System zu installieren, das bei einem Ausfall mehr Haftung für die Bank schafft.

Tolle Punkte, hier können Sie die Antwort suchen.Ich bin nur anderer Meinung, dass die Kundschaft nicht aus Gleichaltrigen besteht.Es ist.Der Einfluss der "Senioren, die Veränderungen nicht verstehen", geistig behinderte Menschen usw. ist gering;es sei denn, Sie meinen "Kollegen von Softwareentwicklern";Jeder andere, unabhängig von Bildungsniveau, IQ oder Ähnlichem, wird sich für die überwiegende Mehrheit sofort für Benutzerfreundlichkeit und Sicherheit entscheiden, keine Senioren usw. sein müssen. Er muss nur denken, dass die Art und Weise, wie wir die Dinge haben möchten, tatsächlich so ist, wie sie sind(dh diese Sicherheit wird nicht verringert), und dies zu denken ist kinderleicht, wenn man mit einem Thema nicht vertraut ist.
Jay
2018-05-22 03:08:39 UTC
view on stackexchange narkive permalink

"Sicherheitsfragen" sind im Allgemeinen eine unglaublich dumme Idee.

Jedes Mal, wenn Sie ein Passwort erstellen, wird routinemäßig empfohlen, dass Sie keine persönlichen Informationen für ein Passwort verwenden sollten, wie z. B. Ihren Aufenthaltsort High School oder Ihre Lieblingsfarbe oder das Auto, das Sie fahren, weil ein Hacker, der versucht, in Ihr Konto einzudringen, diese Dinge möglicherweise entdecken oder erraten kann. Stattdessen sollten Sie eine bedeutungslose Folge von Buchstaben und Ziffern verwenden, die für niemanden zu erraten ist.

Aber ... wir verstehen, dass bedeutungslose Folgen von Buchstaben und Ziffern schwer zu merken sind. Lassen Sie uns also Sicherheitsfragen erstellen, die effektiv als alternative Passwörter fungieren, und für diese verwenden wir etwas, an das Sie sich leicht erinnern können, z. B. wo Sie zur High School gegangen sind, Ihre Lieblingsfarbe oder das Auto, das Sie fahren. Denn während ein Hacker möglicherweise versucht, diese Art von persönlichen Informationen für ein Passwort zu erraten, würde es einem Hacker in einer Million Jahren niemals in den Sinn kommen, die Antwort auf eine Sicherheitsfrage zu erraten.

Zumindest wenn Sie Wenn der Hacker einige persönliche Informationen für ein Passwort verwendet hat, weiß er nicht, ob Sie Ihre Highschool, Ihre Lieblingsfarbe oder eine Automarke verwendet haben. Bei Sicherheitsfragen sagen wir ihm jedoch, was es ist.

Wenn jemand Sie kennt, sind viele Sicherheitsfragen leicht zu finden oder zu erraten. Vielleicht sind Sie aus einer anderen Stadt hierher gezogen, aber es besteht eine faire Chance, dass Sie dort aufgewachsen sind, wo Sie jetzt leben. Wenn Sie also davon ausgehen, dass die High Schools in der Umgebung eine faire Chance haben, einen Treffer zu erzielen. Er könnte wissen, welches Modellauto Sie fahren. Wenn nicht, gibt es nicht allzu viele verschiedene Automarken. Wenn Sie Leute nach ihrer Lieblingsfarbe fragen, nennen die meisten Leute eines von ungefähr einem Dutzend. (Nun, die meisten Männer jedenfalls. Frauen kennen die Namen von weit mehr Farben als Männer.)

Ein System, für das ich kürzlich ein Konto erstellt habe, beschränkte seine Sicherheitsfragen auf Dinge mit einer relativ geringen Anzahl von Möglichkeiten und stellte dann Dropdowns für jedes von ihnen bereit! Sagen Sie dem Hacker, hier sind die 20 möglichen Passwörter, aus denen jemand auswählen durfte! Ich habe Systeme gesehen, bei denen ich ein Passwort mit mindestens 8 Zeichen auswähle, denn wenn ich nur 6 oder 7 eingegeben habe, sind das nur ein paar Milliarden Möglichkeiten, und ein Hacker könnte es mit einem Brute-Force-Angriff bekommen. Aber dann haben wir ein alternatives Passwort, in dem wir die 20 Auswahlmöglichkeiten hilfreich auflisten. Das erspart dem Hacker, sich Sorgen machen zu müssen, dass er durch Großschreibung oder falsche Schreibweise gestolpert wird.

yaroslaff
2018-05-22 04:38:00 UTC
view on stackexchange narkive permalink

Die Antwort lautet wie folgt: Warum haben wir im wirklichen Leben einfache Sperren, die so einfach zu öffnen oder zu knacken sind?

Es ist immer gut, wenn der Benutzer seine Sicherheitsstufe auswählt

Ich wette, das Passwort zum Abfeuern von Atombomben konnte nicht mit dem Mädchennamen der Mutter wiederhergestellt werden. Aber ein typischer Benutzer hat 2-3, vielleicht 10 wirklich wichtige Konten. Und Hunderte anderer Konten. Z.B. Konto im elektronischen Online-Shop. Es ist mir egal, ob jemand es hackt und weiß, was ich 2011 gekauft habe. Ich interessiere mich nicht für ein Konto in einem DIY-Forum, in dem ich einmal um ein paar Ratschläge gebeten habe.

Für viele solcher Konten benötigen die Leute "einfache Schlösser". Einfache Passwörter (wie '123456'), die nicht häufig geändert werden müssen, und eine einfache Möglichkeit, sie wiederherzustellen. Benutzerfreundlichkeit über Sicherheit. Und das ist nicht "traurig", so muss es sein, wenn der Benutzer mehr Benutzerfreundlichkeit als Sicherheit will.

Frank Hopkins
2018-05-17 19:52:36 UTC
view on stackexchange narkive permalink

Der Zweck der Sicherheitsfrage ist die langfristige Gültigkeit. Sie müssen sich daran erinnern, wenn Sie das Passwort vergessen / verloren haben. Aus diesem Grund passt eine inhärente Information, die Sie nicht leicht verlieren können, gut. Dies bedeutet, dass die erste Annahme der Frage nicht passt.

Was den zweiten Teil betrifft, der öffentlich bekannt werden könnte oder bereits bekannt ist: a) Solche Sicherheitsfragen sind in der Regel (wenn sie richtig gestellt werden) eine Option für Sie brauche sie nicht unbedingt - und du kannst eine von vielen wählen. Es ist Sache des Benutzers, zu entscheiden, wie bekannt jeder in seinem Kontext ist (insbesondere, ob ein Angreifer wahrscheinlich seinen normalen Namen in dem Stadium kennt, in dem die Sicherheitsfrage beantwortet werden muss).
b) richtig Bei der Implementierung sollte die Sicherheitsfrage nur ein Teil einer Mehrwegeauthentifizierung sein, da sie immer leichter zu knacken sind als ein Kennwort. Ein anderer Teil ist möglicherweise der Zugriff auf die E-Mail-Adresse, mit der Sie ein Konto registriert haben.

In Bezug auf das Spektrum von Bequemlichkeit bis zur Sicherung der ersten Frage ist dies für Benutzer möglicherweise nicht immer eine schlechte Wahl. Mein Lieblingsfilm, der Name meines Haustieres usw. sind nicht die stärksten Geheimnisse.

Wie bei b) Paypal verwendet diesen Ansatz, um einen Mehrwege-Authentifizierungsansatz zu verwenden, wenn Sie versuchen, Ihr Passwort zurückzusetzen. Dabei müssen Sie Antworten auf mehrere Sicherheitsfragen dieser Art geben. Außerdem müssen Sie Zugriff auf Ihre E-Mail-Adresse haben. Alternativ können Sie eine registrierte Telefonnummer anrufen und den Code, den Sie erhalten, als zweite Authentifizierungsmethode verwenden. Es ist Teil einer Mischung von Maßnahmen - das Ziel ist es, einen Kompromiss zwischen Komfort und Sicherheit zu schaffen.

"Mein Lieblingsfilm, der Name meines Haustieres usw. sind nicht die stärksten Geheimnisse."- Ja, diese als Sicherheitsfragen anzubieten ist ** fast so schlecht ** wie nach dem Mädchennamen der Mutter zu fragen.Alle Sicherheitsfragen sind Passwörter, die mit einer ausgefallenen Eingabeaufforderung versehen sind.Eine meiner Banken hat ein besonders unsinniges Feld mit der Bezeichnung "Ihre denkwürdige Antwort", ohne tatsächlich eine Frage zu stellen.Ich verwende dafür den gleichen Passwortgenerator wie für das Feld "Passcode".
@IMSoP Mein Punkt ist, die Frage als solche ist nicht schlecht, sie passt zu ihrem Zweck.Aber manchmal wird die Implementierung von Sicherheitsfragen als Fallback * -Komponente * falsch gemacht, dh.Wenn sie lediglich als Wiederherstellungskennwort verwendet werden, nicht als eine Komponente zur Unterstützung der Authentifizierung, wenn die primäre Authentifizierungsmethode nicht mehr verfügbar ist.
Was ist der Zweck, zu dem es passt?Ich habe noch nie eine solche Frage gesehen, die auf andere Weise als als Versuch eines Sicherheitsfaktors "etwas, das Sie wissen" verwendet wird - d. H. Als Äquivalent zu einem Passwort.Zu diesem Zweck ist es eine äußerst schlechte Wahl - es ermutigt Benutzer, ein Passwort auszuwählen, das Angreifer trivial erraten könnten.Die Kombination mit anderen Faktoren kann die Schrecklichkeit mindern, wenn die anderen Faktoren besser ausgelegt sind. Die Kombination eines Schnurstücks mit einem Vorhängeschloss macht das Schnurstück jedoch nicht zu einer guten Sicherheitsmaßnahme.
Sicher, es ist ein Faktor, den Sie kennen, aber im Gegensatz zu einem Passwort sollte es - und ich habe es in freier Wildbahn so gesehen - andere Mechanismen zum Schutz vor Missbrauch haben.Wie eine streng geringe Anzahl falscher Antworten, bis sie gesperrt und eine Warnmail gesendet wird.Oder als zusätzlicher Schutz vor dem Versenden eines neuen Passworts per E-Mail verwendet oder in einer Telefon-Support-Hotline zusammen mit anderen Indikatoren zur Authentifizierung verwendet.Der Zweck ist es, ein Indikator für Ihre Identität zu sein, wenn der primäre Authentifikator (Passwort) nicht verfügbar ist.Es sollte nicht alleine stehen oder einen gleichwertigen Zugriff wie das Passwort gewähren.
@IMSoP Wie diese Antwort besagt, hängt es von der Verwendung ab, ob es sich um eine gute Sicherheitsmaßnahme handelt oder nicht.Es ist nicht ungewöhnlich, dass eine Bank Sie nach ausgewählten Zeichen aus Ihrem Passwort fragt * und * um persönliche Daten wie Geburtsdatum, Mädchenname der Mutter, Adresse usw. zu überprüfen. Letztere sind * von sich aus * schwach, wenn sie es sindWird zusätzlich zu einem Passwort verwendet, * fügen * sie ein moderates Maß an Sicherheit hinzu.Z.B.Ihr Passwort wird auf einem öffentlichen Computer verschlüsselt.Der Angreifer kennt Ihre persönlichen Daten immer noch nicht.Vergleichen Sie dies mit dem Mädchennamen einer Mutter, mit dem Sie das Passwort * umgehen * können


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...