Что польза альтернативна к вопросам о безопасности? [закрытый]

Я предпочитаю сохранять вещи простыми и использовать системный подход чести. Например, я подарю пользователю что-то как,

это действительно Вы? Выбор: Да или Никакой .

всегда отправляйте сброс пароля в зарегистрированный почтовый ящик (который коварен для почтового ящика), или отправьте Номер контакта на зарегистрированный мобильный телефон или ссылку на адрес IM, и т.д. - в основном, получите немного вторичной контактной информации на регистрации и используйте его для отправки ссылки 'сброса пароля'.

Никогда не позволяют никому изменить их пароль непосредственно, всегда удостоверяйтесь, что они проходят дополнительный шаг.

Только обеспечьте вопросы, которые не находятся на публичном акте.

Хорошими вопросами о безопасности является неправильное употребление. Они на самом деле создают уязвимость в систему. Мы должны назвать их небезопасными вопросами. Однако распознавая риск и значение они обеспечивают, "хорошие" вопросы о безопасности должны иметь 4 характеристики: 1. не может быть легко предположен или исследован (безопасный), 2. не изменяется со временем (стабильный), 3. незабываемо, 4. является категоричным или простым. Можно читать больше об этом по http://www.goodsecurityquestions.com.

Вот список хороших, справедливых, и плохих вопросов о безопасности.

Отправьте сообщение в другой почтовый ящик, или напишите их сотовый телефон, или назовите их или отправьте сообщение обычной почты. Что-либо, что не включает публичную информацию или предпочтения, которые могут измениться в любое время.

Хорошо для одного это не должно непосредственно изменять пароль, но посылать электронное письмо со ссылкой для изменения пароля. Тем путем у нее была бы электронная почта и известный, что это не была она, кто инициировал сброс, и что ее вопрос / ответ был поставлен под угрозу.

В случае, где адрес электронной почты больше не действителен, он должен ожидать тайм-аута (несколько дней или неделя) прежде, чем позволить новому электронному письму быть присоединенным к учетной записи.

Обработка этих вопросов о безопасности, поскольку что-то на самом деле являющееся двухфакторной аутентификацией является полностью вводящим в заблуждение. От побочного чтения объектов прежде, когда бесспорный (банки) сайты были обязаны иметь "двухфакторную аутентификацию", они начали реализовывать это как дешевый способ сделать это. Bruce Schneier говорил об этом [в то время как назад] [1].

Несколькими факторами являются лучшие вещи, которые являются not-same. Это не должны быть все вещи, которые Вы "знаете", но что-то, что Вы знаете и что-то, что Вы имеете и т.д. Это - то, где аппаратные аутентификационные маркеры, смарт-карты и другие такие устройства играют роль.

[1]: http://www.schneier.com/blog/archives/2005/03/the_failure_of.html Отказ Двухфакторной аутентификации

Истинный ответ, нет надежного способа не пустить хакеров. Я ненавижу вопросы о безопасности, но если Ваша попытка использовать их, допускайте определяемые пользователем вопросы о безопасности. Как пользователь, если у меня должен быть вопрос о безопасности на сайте для создания учетной записи, я действительно как наличие способности установить мой собственный вопрос о безопасности позволить мне спрашивать что-то, что только я знаю, как ответить. Это не должен даже быть реальный вопрос в этом случае. Но пользовательская учетная запись затем так же безопасна как глупость пользователя и то, что многие пользователи будут использовать что-то как "вопрос?" и "отвечают!" или что-то одинаково немое. Вы не можете сохранить пользователей от их собственной глупости.

Покончите (в) вопросах о безопасности полностью. Они - такая очевидная дыра в системе безопасности, что я на самом деле немного удивлен, что она взяла, это очень хочет, чтобы они создали серьезное (хорошо, получивший широкую огласку) инцидент.

, Пока они не исчезают, я просто собираюсь продолжить говорить веб-сайты, которые используют их, что я перешел к "n4weu6vyeli4u5t" средней школе...

Сделайте, чтобы пользователь ввел 3 вопроса и ответы. Когда они запрашивают, чтобы сброс подарил им выпадающий из 5 вопросов, тот если, который является случайным от 3, которые они ввели. Затем отправьте электронное письмо с подтверждением для фактического изменения пароля.

, Конечно, ничто не будет действительно "доказательством хакера".

Когда пользователи вовлечены (и главным образом если не, также) нет никакой безопасности; существует только иллюзия безопасности. Нет много, можно делать с этим. У Вас могли быть 'менее общие' вопросы о безопасности, но даже они подвержены эксплуатации, так как некоторые люди производят все в общественном внимании.

Дополнительные каналы как электронная почта предлагают разумное решение проблемы. Если пользователь делает запрос на восстановление пароля, можно послать им по электронной почте маркер сброса пароля. Все еще не прекрасный, как другие сказали, но использующий это, потребовал бы, чтобы взломщик был где-нибудь в углу обзора между веб-сайтом, его MTA и пользователями MUA. Это технически легко, но я предполагаю, что действительность, это - просто слишком много работы/риска для них для беспокойства о любом кроме очень высоких людей профиля.

Требование, чтобы пользователь предоставил SSL или открытые ключи GPG во время создания учетной записи, поможет чрезвычайно, но невежественные пользователи не будут знать то, что теми вещами является невмешательство смочь сохранить их закрытые ключи безопасными и сохраненными, таким образом, они не теряют их.

Просьба, чтобы пользователь предоставил второй чрезвычайный пароль (отчасти как PIN/PUK на SIM-картах мобильного телефона), могла помочь, но вероятно, что пользователь использовал бы тот же пароль дважды или забыл бы второй пароль также.

Короткий ответ, Вы - S.O.L, если Вы не хотите рассказать своим пользователям о безопасности и затем поразить их cluestick, пока они не понимают, что необходимо быть безопасным, и небольшой объем дополнительной работы не должен просто там быть болью в заднице.

Аутентификация всего путем отправки электронных писем является довольно эффективным решением. (хотя, который, возможно, не был осуществим для Yahoo в этом случае :)).

Вместо того, чтобы иметь предосудительные отношения с вопросами о безопасности или другими средствами восстановить пароли, просто ответьте на пароль, восстанавливают запросы путем отправки электронного письма предопределенному почтовому ящику со ссылкой авторизации. Оттуда можно изменить пароли, или независимо от того, что необходимо сделать (никогда НЕ ОТПРАВЛЯЮТ пароль, хотя - необходимо всегда хранить его как соленый хеш так или иначе, всегда изменить его. Затем, если почтовый ящик имеет поставленный под угрозу ben, по крайней мере, существует некоторый признак пользователю, что к их другим сервисам получили доступ)

Это 'зависит' от 'системы'.

• , Если Вы - Банк или поставщик кредитной карты, Вы уже выпустили некоторый физический маркер своему клиенту, против которого можно проверить и т.д.

• , Если Вы - сайт электронной коммерции, Вы просите некоторые недавние транзакции - точные суммы, номер кредитной карты, используемый и др.

• , Если бы Вы похожи на Yahoo, автоматизированный подход, я использовал бы, должен отправить код активации или через телефонный вызов или через текстовое сообщение к сотовому телефону наряду с некоторым другим основным вопросом и ответами.

Jay

Ненадежность так называемых "вопросов о безопасности" была известна в течение долгого времени. Как Bruce Schneier выражается :

результатом является нормальный протокол системы защиты (пароли), отступает к намного меньшему количеству защищенного протокола (секретные вопросы). И безопасность всей системы страдает.

, Что можно сделать? Моя обычная техника состоит в том, чтобы ввести абсолютно случайный ответ - я безумно хлопаю на своей клавиатуре в течение нескольких секунд - и затем забываю об этом. Это гарантирует, что некоторый взломщик не может обойти мой пароль и попытку предположить ответ на мой секретный вопрос, но довольно неприятен, если я забываю свой пароль. Одно время это произошло со мной, я должен был назвать компанию для получения моего сброса пароля и вопроса. (Честно, я не помню, как я аутентифицировал меня в представителе обслуживания клиентов в другом конце телефонной линии.)

я думаю, что лучшая техника состоит в том, чтобы просто послать электронное письмо со ссылкой, которую они могут использовать для генерации нового случайного пароля к почтовому ящику, который первоначально раньше регистрировал пользователь. Если они не запрашивали нового пароля, они могут просто проигнорировать его и продолжать использовать свой старый. Как другие указали, это не обязательно помогло бы Yahoo, так как они выполняли почтовый сервис, но для большинства других сервисов электронная почта является достойной мерой по аутентификации (в действительности, Вы навязываете проблему аутентификации прочь на почтовом поставщике пользователя).

, Конечно, Вы могли просто использовать OpenID.

когда не почтовая система, пошлите им по электронной почте ссылку на защищенную страницу с хешем, который должен возвратиться в строке запроса для изменения пароля.

Затем, если бы кто-то пытался изменить Ваш пароль, Вы знали бы, и они не смогли бы предположить хеш потенциально.

Мы используем 2 гуида, умноженные вместе, представленные как шестнадцатеричное число.

Видя, что много плакатов предлагает электронную почту, все, что я могу предложить, , не ДЕЛАЮТ электронная почта использования как Ваша линия обороны.

Взлом somebodys почтовый ящик может быть относительно легким. Много веб-почтовых сервисов не ДЕЛАЮТ , обеспечивают любую реальную безопасность также, и даже если они предлагают SSL, часто не значение по умолчанию , и Вы все еще полагаетесь на слабость электронная почта пароль для защиты пользователя (Который, в свою очередь имеет механизм сброса больше всего время).

электронная почта является одной из большинства небезопасных технологий, и существует хорошо причины, почему это - действительно плохая идея отправить информацию как данные кредитной карты по ним. Они обычно передаются между серверами в простом тексте, и одинаково часто, между сервером и настольным клиентом, одинаково незашифрованным, и все это, взятия являются проводным сниффингом, чтобы получить URL сброса и инициировать его. (Не говорите, что я параноик, потому что банки используют шифрование SSL для хороший причина. Как можно положить, что эти 20-200 физических устройств на маршруте имеют благие намерения?)

, После того как Вы получаете данные сброса, можно изменить пароль, и затем изменить (их) адрес электронной почты и иметь постоянный контроль над их учетной записью (это происходит все время).

И если они получают Ваш почтовый ящик, все, которое они должны сделать, имеют обзор через Ваш ящик входящих сообщений для нахождения, кого Вы подписаны с и затем легко сбрасываете пароль НА ВСЕХ НИХ

Поэтому теперь, с помощью основанной на электронной почте безопасности, может привести к слабость propogative безопасности!. Я уверен, что это выгодно!.

вопросом, который задают, Является тот, который я изображаю, почти невозможно сделать с одним только программным обеспечением. Поэтому у нас есть аутентификация с 2 факторами с аппаратными аппаратными ключами, которые отвечают на вызовы с их собственной уникальной подписью с закрытым ключом, и только если Вы проигрываете, которые являются Вами завинченный, и затем необходимо иметь дело с человеком (о нет) для получения нового.

Сгенерировать хэш, содержащий имя пользователя и пароль человека, и отправить его по Https пользователю в виде файла. Пользователь сохраняет файл на диск. Пользователь несет ответственность за хранение этого файла в безопасном месте. В качестве альтернативы вы можете отправить его на адрес электронной почты пользователя, но это приведет к снижению безопасности. Если пользователь забывает свои учетные данные для входа в систему, он должен загрузить этот файл. После того, как сервер проверит имя пользователя и пароль, пользователю будет предложено изменить пароль.