web-dev-qa-db-ja.com

秘密の質問:どのような質問をしますか?

新しいWebサイトの見積保存機能に取り組んでいるとき、セキュリティ要件の1つは秘密の質問をしてユーザーから値を取得することです。

質問するセキュリティの質問の種類に関する提案はありますか?

15
Chris

ユーザーが自分の秘密の質問を入力することを許可しないのはなぜですか?

質問自体は重要ではありません。ユーザーの記憶を揺さぶるだけです。ユーザーが独自の質問を入力できるようにすると、ユーザーは答えを覚えやすくなり、ユーザーが存在する可能性のあるすべての状況をカバーするためにさまざまな質問を検討する必要がなくなります(つまり、ペット、母親の旧姓などは知らない)。

28
Steve

Security StackExchange サイトで参照されているように、この答えは goodsecurityquestions.com Webサイトから直接取得しています。

「セキュリティの質問」という用語は誤った名称です。セキュリティの質問は、不正なユーザーが答えを見つけられた場合にアクセスする方法を提供することにより、セキュリティに潜在的な穴または違反を作成します。うまくいけば、セキュリティの専門家は、忘れたパスワードを取得したり、ログイン中にIDを確認したりするためのより良い方法を見つけるでしょうが、それまではセキュリティに関する質問が優先されるでしょう。

したがって、セキュリティの質問にはメリットとデメリットの両方があります。質の低い質問は、セキュリティ違反や混乱を引き起こし、サポートコールに費用がかかります。優れたセキュリティの質問は、現在の環境では役立ちますが、一般的ではありません。

ただし、実際には良いセキュリティの質問はありません。公正または悪い質問のみ。 「良い」は、これらの質問は受け入れ可能であり、ユーザーを保護するという印象を与えます。現実には、セキュリティの質問は侵害の機会を提供し、最高のセキュリティの質問でさえすべての攻撃を排除するのに十分ではありません。トレードオフがあります。セルフサービスとセキュリティのリスク。

ソーシャルネットワーキング(Facebook、MySpace、Twitter、個人ブログ、LinkedIn)は、セキュリティの質問に対するリスクをさらに高めています。人々は寛大に自分自身、彼らの歴史、いいね、お気に入りなどについてすべてを語っています。人に関する情報を見つけやすくなりました。

しかし、実際にあなたの質問に答えるために、そのサイトは、彼らが以下の基準を満たす他のものよりも優れていると言うリストを提供しています:

優れたセキュリティの質問には、4つの共通の特徴があります。良いセキュリティの質問への答え:

  1. 簡単に推測または調査することはできません(安全)、
  2. 時間とともに変化しない(安定している)
  3. 思い出深いです
  4. 決定的または単純です。

そしてそれらの質問は

  • あなたの子供の頃のニックネームは何でしたか?
  • あなたはあなたの配偶者/重要な他の人とどの都市で出会いましたか?
  • あなたの好きな幼なじみの名前は何ですか?
  • 3年生であなたはどの通りに住んでいましたか?
  • あなたの最年長の兄弟の誕生日の月と年は何ですか? (例:1900年1月)
  • あなたの最年長の子供のミドルネームは何ですか?
  • あなたの最も古い兄弟のミドルネームは何ですか?
  • 6年生のときに通っていた学校は?
  • 市外局番を含めた子供の頃の電話番号は何でしたか? (例:000-000-0000)
  • あなたの最年長のいとこの姓名は何ですか?
  • 最初のぬいぐるみの名前は?
  • あなたの母親と父親はどの都市または町で出会いましたか?
  • 初めてキスをしたときはどこにいましたか?
  • あなたが最初にキスした男の子または女の子の名は?
  • 3年生の先生の姓は?
  • 最寄りの兄弟はどの都市に住んでいますか?
  • 兄の誕生日は何月ですか? (例:1900年1月)
  • あなたの母方の祖母の旧姓は何ですか?
  • 最初の仕事はどの市や町でしたか?
  • 結婚披露宴が行われた場所の名前は?
  • 申請したが通っていなかった大学の名前を教えてください。
  • 9/11について初めて聞いたとき、どこにいましたか?
11
JonW

「母の旧姓」、「最初のペットの名前」などの標準的な質問だけを使用しないでください。広く使用されており、それらを使用していますは、ユーザーに異なるセキュリティWebサイトで同じセキュリティの回答を強制することを意味します。これは、パスワードを再利用するのと同じように、セキュリティホールです。

ユーザーが独自の質問を作成できるようにするというSteveの推奨に同意します。しかし、事前に定義した質問を本当に提供したい場合は、次のようにします。

  • 答えを見つけるのは簡単ではありません:「母の旧姓」や「出身地」などは、ウェブ検索で見つけられる可能性があります。
  • 答えは明確でなければなりません:質問が「最初の学校の名前は何でしたか」である場合、答えが「St Trinian's School」、「Saint Trinian's」、「St。Trinian School」、またはその他のバリエーション。
  • 答えは推測しにくいはずです良いチャンスがある 答えは「青」なので、「好きな色」はダメです「それ以外の場合は、おそらく緑、赤、紫のみです。たとえば、「親友の名前」でさえ「デービッド」である可能性はかなり高いです。
7
Bennett McElwee

序文:私は本当に、本当に、本当にあなたは スティーブの答え で行くべきだと思います。

そのオプションを無視することを選択し、事前に定義された質問のリストを要求する場合、人の名前と質問をGoogle検索で解決するのが難しい質問を選択するようにしてください。

Googleが存在する前は、母親の旧姓を見つけるのは難しい場合がありました。さて、それは非常に簡単です:人の名前+ホワイトページ+母の名前+グーグル検索=母の旧姓。より適切な質問を特定するには、複雑であるが覚えやすいものを選択してください。それは単純に検索することはできません。私の頭の上のいくつかの質問は次のとおりです。

  • あなたが今までに得た二番目に良い誕生日プレゼントは何でしたか?
  • 空が青いのはなぜですか?
  • あなたの好きな色と好きな動物は何ですか?

これらの質問の目的は、質問と回答secretを作成することです。事前定義された質問のほとんどは、簡単なGoogle検索で回答できます。したがって、あなたの仕事は、ユーザーが使用する秘密の質問が(妥当な検索能力を持つ)許可されていないパーティーが簡単に答えられないようにすることです。

4
Az Za

ここの誰もが私が同意することを言ったすべて。質問が、誰かが簡単にGoogleができるもの、推測しやすいもの、あいまいでないものではないことを確認します。

一般的なセキュリティの質問ではない質問を誰かが作成できるため、独自の質問を作成することは良い考えだと思いますが、これの落とし穴は、ユーザーが何かを作成するのを妨げるだけでなく、質問の安全性を推進していないことですこのような...

質問:「カエル」回答:「ジョー」

人々は怠惰になり、誰も覚えていないような非常に明確な質問をする傾向があります。したがって、質問のリストと独自の質問を作成するオプションの両方を用意することが重要だと思います。

2
Jason Frade

事前定義されたリストが先の道だと思います。現在のプロジェクトのセキュリティに関するこの問題は、ユーザーに3つのセキュリティの質問に答えるように依頼することで解決しました。コンボボックス(事前に定義されたすべての質問-クイックWeb検索で適切な質問を見つけることができます)とその下の入力フィールドに回答を入力します。

1つを推測する可能性があり、3つすべてを推測する可能性は非常に低いです。

1
Reece Parry

してはいけないこととその理由を追加しましょう。たとえば、California Franchise Tax Boardは、選択を次のようなものに制限しています。

  • 好きな色は?
  • キャンセルされたお気に入りのテレビ番組の名前は何ですか?
  • 友達と遊ぶのに好きなボードゲームは何ですか?

これらの質問に対する答えは、時間の経過とともに変化する可能性があります。これは、ユーザーが頻繁にログインし、回答を確認および調整できるサイトにとっては、ほんの少しでも良い選択かもしれません。これは、ユーザーが頻繁にログインしないサイトには適していません。

他の安全なドキュメントの一部を要求する質問も悪いです:

  • SSNの最後の4つ
  • 運転免許証の3桁目

会社からのそのデータの盗難として、他のサイトでのユーザーのセキュリティを危険にさらす可能性があります。

次のような選択肢があります。

  • ログインを確認するためにユーザーに送り返される写真をユーザーにアップロードさせる(なりすましを防ぐため)
  • ログインを検証するために繰り返されるフレーズをユーザーに入力させる(再度、なりすまし)。
  • ユーザーに独自の質問と回答を入力してもらい、おそらくいくつかの複雑な要件があります。
  • さまざまなコールバックおよびテキストメッセージシステム(通常、携帯電話を盗んだ人が、詐欺している人の電子メールとテキストメッセージの両方にアクセスできるという弱点があります)。

@Steveは上記の答えを釘付けにしました。あなた自身の質問を、非常にあいまいな答えで考えることができますか?多分そう。たとえば、「その日、メアリージェーンが高校で私の下着をどこに隠したか」を考えてみましょう。これらは人間の答えを持つ人間の質問なので、答えの一致に関して曖昧にしてください。すべてのケース(例:「校長室」)と部分文字列の一致(例:「校長室」)も確実に受け入れます。

1
Bryce