新しいWebサイトの見積保存機能に取り組んでいるとき、セキュリティ要件の1つは秘密の質問をしてユーザーから値を取得することです。
質問するセキュリティの質問の種類に関する提案はありますか?
ユーザーが自分の秘密の質問を入力することを許可しないのはなぜですか?
質問自体は重要ではありません。ユーザーの記憶を揺さぶるだけです。ユーザーが独自の質問を入力できるようにすると、ユーザーは答えを覚えやすくなり、ユーザーが存在する可能性のあるすべての状況をカバーするためにさまざまな質問を検討する必要がなくなります(つまり、ペット、母親の旧姓などは知らない)。
Security StackExchange サイトで参照されているように、この答えは goodsecurityquestions.com Webサイトから直接取得しています。
「セキュリティの質問」という用語は誤った名称です。セキュリティの質問は、不正なユーザーが答えを見つけられた場合にアクセスする方法を提供することにより、セキュリティに潜在的な穴または違反を作成します。うまくいけば、セキュリティの専門家は、忘れたパスワードを取得したり、ログイン中にIDを確認したりするためのより良い方法を見つけるでしょうが、それまではセキュリティに関する質問が優先されるでしょう。
したがって、セキュリティの質問にはメリットとデメリットの両方があります。質の低い質問は、セキュリティ違反や混乱を引き起こし、サポートコールに費用がかかります。優れたセキュリティの質問は、現在の環境では役立ちますが、一般的ではありません。
ただし、実際には良いセキュリティの質問はありません。公正または悪い質問のみ。 「良い」は、これらの質問は受け入れ可能であり、ユーザーを保護するという印象を与えます。現実には、セキュリティの質問は侵害の機会を提供し、最高のセキュリティの質問でさえすべての攻撃を排除するのに十分ではありません。トレードオフがあります。セルフサービスとセキュリティのリスク。
ソーシャルネットワーキング(Facebook、MySpace、Twitter、個人ブログ、LinkedIn)は、セキュリティの質問に対するリスクをさらに高めています。人々は寛大に自分自身、彼らの歴史、いいね、お気に入りなどについてすべてを語っています。人に関する情報を見つけやすくなりました。
しかし、実際にあなたの質問に答えるために、そのサイトは、彼らが以下の基準を満たす他のものよりも優れていると言うリストを提供しています:
優れたセキュリティの質問には、4つの共通の特徴があります。良いセキュリティの質問への答え:
「母の旧姓」、「最初のペットの名前」などの標準的な質問だけを使用しないでください。広く使用されており、それらを使用していますは、ユーザーに異なるセキュリティWebサイトで同じセキュリティの回答を強制することを意味します。これは、パスワードを再利用するのと同じように、セキュリティホールです。
ユーザーが独自の質問を作成できるようにするというSteveの推奨に同意します。しかし、事前に定義した質問を本当に提供したい場合は、次のようにします。
序文:私は本当に、本当に、本当にあなたは スティーブの答え で行くべきだと思います。
そのオプションを無視することを選択し、事前に定義された質問のリストを要求する場合、人の名前と質問をGoogle検索で解決するのが難しい質問を選択するようにしてください。
Googleが存在する前は、母親の旧姓を見つけるのは難しい場合がありました。さて、それは非常に簡単です:人の名前+ホワイトページ+母の名前+グーグル検索=母の旧姓。より適切な質問を特定するには、複雑であるが覚えやすいものを選択してください。それは単純に検索することはできません。私の頭の上のいくつかの質問は次のとおりです。
これらの質問の目的は、質問と回答secretを作成することです。事前定義された質問のほとんどは、簡単なGoogle検索で回答できます。したがって、あなたの仕事は、ユーザーが使用する秘密の質問が(妥当な検索能力を持つ)許可されていないパーティーが簡単に答えられないようにすることです。
ここの誰もが私が同意することを言ったすべて。質問が、誰かが簡単にGoogleができるもの、推測しやすいもの、あいまいでないものではないことを確認します。
一般的なセキュリティの質問ではない質問を誰かが作成できるため、独自の質問を作成することは良い考えだと思いますが、これの落とし穴は、ユーザーが何かを作成するのを妨げるだけでなく、質問の安全性を推進していないことですこのような...
質問:「カエル」回答:「ジョー」
人々は怠惰になり、誰も覚えていないような非常に明確な質問をする傾向があります。したがって、質問のリストと独自の質問を作成するオプションの両方を用意することが重要だと思います。
事前定義されたリストが先の道だと思います。現在のプロジェクトのセキュリティに関するこの問題は、ユーザーに3つのセキュリティの質問に答えるように依頼することで解決しました。コンボボックス(事前に定義されたすべての質問-クイックWeb検索で適切な質問を見つけることができます)とその下の入力フィールドに回答を入力します。
1つを推測する可能性があり、3つすべてを推測する可能性は非常に低いです。
してはいけないこととその理由を追加しましょう。たとえば、California Franchise Tax Boardは、選択を次のようなものに制限しています。
これらの質問に対する答えは、時間の経過とともに変化する可能性があります。これは、ユーザーが頻繁にログインし、回答を確認および調整できるサイトにとっては、ほんの少しでも良い選択かもしれません。これは、ユーザーが頻繁にログインしないサイトには適していません。
他の安全なドキュメントの一部を要求する質問も悪いです:
会社からのそのデータの盗難として、他のサイトでのユーザーのセキュリティを危険にさらす可能性があります。
次のような選択肢があります。
@Steveは上記の答えを釘付けにしました。あなた自身の質問を、非常にあいまいな答えで考えることができますか?多分そう。たとえば、「その日、メアリージェーンが高校で私の下着をどこに隠したか」を考えてみましょう。これらは人間の答えを持つ人間の質問なので、答えの一致に関して曖昧にしてください。すべてのケース(例:「校長室」)と部分文字列の一致(例:「校長室」)も確実に受け入れます。