所谓的"安全问题"的不安全性早已为人所知.正如Bruce Schneier所说:
结果是正常的安全协议(密码)回归到安全性较低的协议(秘密问题).并且整个系统的安全性受到损害.
一个人可以做什么?我通常的技巧是输入一个完全随机的答案 - 我疯狂地敲击键盘几秒钟 - 然后忘了它.这可以确保某些攻击者无法绕过我的密码并尝试猜测我的秘密问题的答案,但如果忘记密码则会非常不愉快.有一次这发生在我身上,我不得不打电话给公司以获取我的密码并重置问题.(老实说,我不记得我是如何通过电话线的另一端向客户服务代表进行身份验证的.)
我认为更好的技术是发送一封带有链接的电子邮件,这些链接可用于为用户最初用于注册的电子邮件帐户生成新的随机密码.如果他们没有请求新密码,他们可以忽略它并继续使用旧密码.正如其他人所指出的那样,这并不一定有助于雅虎,因为他们正在运行电子邮件服务,但对于大多数其他服务,电子邮件是一种不错的身份验证措施(实际上,你会强制解决身份验证问题)用户的电子邮件提供商).
当然,您可以使用OpenID.
所谓的"安全问题"的不安全性早已为人所知.正如Bruce Schneier所说:
结果是正常的安全协议(密码)回归到安全性较低的协议(秘密问题).并且整个系统的安全性受到损害.
一个人可以做什么?我通常的技巧是输入一个完全随机的答案 - 我疯狂地敲击键盘几秒钟 - 然后忘了它.这可以确保某些攻击者无法绕过我的密码并尝试猜测我的秘密问题的答案,但如果忘记密码则会非常不愉快.有一次这发生在我身上,我不得不打电话给公司以获取我的密码并重置问题.(老实说,我不记得我是如何通过电话线的另一端向客户服务代表进行身份验证的.)
我认为更好的技术是发送一封带有链接的电子邮件,这些链接可用于为用户最初用于注册的电子邮件帐户生成新的随机密码.如果他们没有请求新密码,他们可以忽略它并继续使用旧密码.正如其他人所指出的那样,这并不一定有助于雅虎,因为他们正在运行电子邮件服务,但对于大多数其他服务,电子邮件是一种不错的身份验证措施(实际上,你会强制解决身份验证问题)用户的电子邮件提供商).
当然,您可以使用OpenID.
带外通信是最佳选择.
例如,在SMS中发送临时密码是可以接受的(取决于系统).我已经看到这通常由电信实施,其中SMS便宜/免费/部分业务,并且用户的手机号码已预先注册...
银行经常要求拨打特定号码的电话,但我个人对此并不太疯狂....
当然,根据系统的不同,强制用户进入分支机构以亲自识别自己也可以工作(只是皇室惹恼用户).
最重要的是,请勿创建较弱的渠道来绕过强密码要求.
看过很多海报都建议发送电子邮件,我所能建议的就是不要使用电子邮件作为你的防线.
妥协somebodys电子邮件帐户可能相对容易.许多基于Web的电子邮件服务DONT要么提供任何真正的安全,即使他们提供SSL,它往往不是违约 ,你还在依靠的弱点电子邮件密码来保护用户(这反过来有一个复位机构大部分时间 ).
电子邮件是最不安全的技术之一,并且有很好的理由说明为什么在信用卡详细信息上发送信息这是一个非常糟糕的主意.它们通常以明文形式在服务器之间传输,同样经常在服务器和桌面客户端之间以相同的方式进行传输,所需要的只是通过电线嗅探来获取重置URL并触发它.(不要说我是偏执狂,因为银行使用SSL加密是有充分理由的.你怎么能相信路线上的20-200个物理设备有良好的意图?)
获得重置数据后,您可以重置密码,然后更改您的(他们的)电子邮件地址,并永久控制他们的帐户(它始终发生).
如果他们获得了您的电子邮件帐户,他们所要做的就是浏览您的收件箱以找到您订阅的对象,然后轻松地重置所有这些密码
所以现在,使用基于电子邮件的安全性,可能导致一个传播性的安全漏洞!我相信这很有益!
被问到的问题我认为单独使用软件几乎是不可能的.这就是我们使用硬件加密狗进行双因素身份验证的原因,这些加密狗使用自己独特的私钥签名来应对挑战,只有当你丢失了,你才搞砸了,然后你必须处理一个人(哦不)来获得一个新的一个.
它取决于'系统'.
如果您是银行或信用卡提供商,您已经向您的客户发出了一些物理令牌,您可以对其进行验证等.
如果您是一个电子商务网站,您要求最近的一些交易 - 确切的金额,使用的信用卡号等等.
如果你像雅虎一样,我会使用的一种自动化方法是通过电话或短信向手机发送激活码以及其他一些基本问题和答案.
松鸦
让用户输入3个问题和答案.当他们要求重置时,他们会向他们提出5个问题的下拉,其中一个是他们输入的3个随机的问题.然后发送确认电子邮件以实际重置密码.
当然,没有什么是真正的"黑客证明".
京公网安备 11010802040832号 | 京ICP备19059560号-6 