web-dev-qa-db-ja.com

Webサイトでセキュリティに関する質問への回答を同じ意味で使用できるのはなぜですか?

秘密の質問をこの目的で使用するWebサイトでパスワードをリセットする必要があり、何か奇妙なことに気付きました。私の仮想セキュリティの質問は(実際に使用するものではありません)は次のとおりです。

  1. お名前は何ですか?ジョン
  2. どこに住んでいますか?シカゴ

リセットするには、両方の質問に答えるように求められます。ただし、どの質問にどの回答を使用するかは問題ではありません使用する回答が少なくとも1つの質問に対して正しい限りこれらの組み合わせはすべて機能します。

ジョン/シカゴ、シカゴ/ジョン、ジョン/ジョン、シカゴ/シカゴ

どちらかのフィールドがいずれかの質問に対する不正解である場合、ページはエラーを返すため、

ジョン/-不正解-、-不正解-/ジョン、シカゴ/-不正解-、-不正解-/シカゴ

すべて失敗します。

これはバグである必要がありますね?これは、ほぼ制限された「便利な機能」のようであり、セキュリティの質問のすでに制限されている有効性を実際に劇的に低下させます。

8
John Bensin

要するに、誰かがORANDのあるべき場所に誤って配置しました。確かに、開発者側の大きな事故。 securityに関するあなたの仮定は正しいです。

9
TildalWave

ええ、あなたが説明することはバグのように見えます。 「セキュリティの質問」の主張されたセキュリティの価値、またはその欠如に関係なく、「ジョン」が「あなたはどこに住んでいますか」に対する有効な応答と見なすことができる方法はありません。それは単なるバグではありません。それはvulnerabilityです(そもそも「セキュリティの質問」を使用するよりもさらに大きなものです)。実際、あなたの例では、誰かが「あなたの名前は何ですか」という5つの質問が提示され、5つすべてに「ジョン」と答えてアクセス権を付与できるため、攻撃者はすべての質問に対する答えを推測する必要さえありません。それらの1つに。

私はそれが故意の便利な機能だとは思いません。そのデザインを思いつくには本当に歪んだ心が必要です。本物のバグがもっともありそうです。

6
Tom Leek

秘密の質問は悪いです、あなたの名前とあなたが住んでいる場所を尋ねる秘密の質問はさらに悪いです。 1つの質問に対してどちらの回答も使用できるという事実はバグではなく、コーディングが不十分です。

セキュリティの質問を使用してパスワードをリセットすることは、他の何かと組み合わせて使用​​しないと悪いことです。たとえば、彼らがあなたに質問をしたが、あなただけが知ることができるもの(現時点では良い質問は思いつきませんが、おそらくあなたの最初の愛の年に沿って何か)、そしてあなたがこれらの質問に答えた後、限られた時間トークン(リンク)が生成され、15分間有効なメールアドレスに送信されます。このリンクをクリックすると、コードが記載されたテキストメッセージが携帯電話に送信され、ページにコードを入力する必要があります。コードが正しい場合は、パスワードを変更できます。

5
Lucas Kauffman