Вопрос безопасности & ответ. Какие вопросы вы задаете?

Работа с функцией сохранения цитат для нашего нового сайта, одним из требований безопасности является задание секретного вопроса и получение значения от пользователя.

Есть ли у кого-нибудь предложения по типу вопросов безопасности?

14 голосов | спросил Chris 26 AM00000040000005731 2013, 04:12:57

4 ответа


26

Почему бы не разрешить пользователю вводить свой собственный вопрос безопасности?

Сам вопрос не имеет значения, он должен только пробегать память пользователя. Если вы позволите пользователю ввести свой собственный вопрос, они с большей вероятностью запомнят ответ, и вам не нужно будет задавать много разных вопросов, чтобы охватить все ситуации, в которых мог бы находиться пользователь (т. Е. Никогда не было домашнее животное, не знаю девичья фамилия матери и т. д.).

ответил Steve 26 AM00000070000005831 2013, 07:51:58
4

Предисловие: я действительно действительно думаю, что вы должны пойти с ответом Стива ,

Предположим, что вы решили игнорировать эту опцию и будете задавать предопределенный список вопросов, ПОЖАЛУЙСТА, убедитесь, что вы выбираете вопросы, которые нелегко разрешить при поиске в Google имени и вопроса.

До того, как Google существовал, найти девичью фамилию матери может быть сложно. Теперь это довольно просто: имя человека + белые страницы + имя матери + google search = девичья фамилия матери. Чтобы определить лучшие вопросы, выберите что-то сложное, но легко запоминаемое, которое нельзя просто обыскать. Некоторые вопросы от верхней части моей головы:

  • Каким был второй лучший подарок на день рождения, который вы когда-либо получали?
  • Почему голубой?
  • Ваш любимый цвет и любимое животное?

Цель этих вопросов - задать вопрос и ответить секрет . Большинство вопросов, которые предопределены, будут отвечать за простой поиск Google. Поэтому ваша работа заключается в том, чтобы гарантировать, что секретные вопросы, используемые пользователем, непросты для несанкционированной стороны (с разумным поиском), чтобы ответить.

ответил Az Za 26 AM000000110000005431 2013, 11:52:54
1

Я думаю, что предопределенный список - это путь вперед, я решил эту проблему о безопасности в моем текущем проекте, попросив пользователя заполнить три вопроса безопасности. Итак, поле со списком (со всеми заданными вопросами - вы можете найти хорошие с быстрым поиском в Интернете) и поле ввода под ним, чтобы заполнить ответ.

Возможны варианты угадывания, шансы угадать все три маловероятных.

ответил Reece Parry 29 PM00000010000001331 2013, 13:58:13
1

Давайте добавим, что не делать, и почему. Например, Калифорнийский налоговый совет по франчайзингу ограничивает выбор таких вещей, как:

  • Какой твой любимый цвет?
  • Как называется ваше любимое отменное ТВ-шоу?
  • Какая ваша любимая настольная игра, чтобы поиграть с друзьями?

Ответы на эти вопросы могут меняться со временем. Это может быть немного отличный выбор для сайта, на котором пользователь часто входит в систему, и может видеть и корректировать ответы. Это плохой выбор для сайта, на котором пользователь регистрируется нечасто.

Также плохо задаются вопросы с запросами на другие защищенные документы:

  • Последние четыре SSN
  • Третья цифра водительских прав

Как кража этих данных от вашей фирмы может поставить под угрозу безопасность пользователя на других сайтах.

У вас есть альтернативы, например:

  • После загрузки пользователем фотографии, которая отправляется обратно пользователю для подтверждения входа (для предотвращения подмены)
  • Если пользователь вводит фразу, которая повторяется, чтобы подтвердить логин (опять же, spoofing).
  • Если пользователь задает свой вопрос и ответ, возможно, с некоторыми требованиями сложности.
  • Различные системы обратного вызова и текстовых сообщений (с той слабостью, что кто-то ворует мобильный телефон, как правило, имеет доступ как к электронной почте, так и к текстовым сообщениям для лица, которого они мошенничают).

@Steve пригвоздил ответ выше. Можете ли вы подумать о своем собственном вопросе, с ответом, который слишком неясен? Вероятно, да. Например, подумайте: «Где Мэри Джейн прятала мое белье в тот день в средней школе?». Будьте нечеткими с точки зрения ответа, так как это человеческие вопросы с ответами на человека. Определенно принимают любой случай (например, «Офис директора») и, возможно, даже частичные совпадения строк (например, «главный офис»).

ответил Bryce 21 J000000Friday17 2017, 19:33:37

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132