#1 楼
因为人们懒惰和/或无能。而且,嗯,您知道,互联网上到处都是黑猩猩。我认为所有安全问题都不好,但是使用母亲的娘家姓却格外糟糕:
至少在瑞典,我只需打个电话就可以找到任何人的娘家姓。这实际上是公共信息。
现在是2018年,夫妻结婚时通常采用新娘的名字。您母亲的娘家姓就是您的姓。太好了。
路易斯·卡西利亚斯(Luis Casillas)正确地补充道:
有数十个国家,其中有数十亿居民,在这种情况下,妇女不更改其法定姓名他们结婚。特别是美国,有许多来自这些国家的少数民族。
严重的是,没有任何借口。真不好。
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
18年5月20日在7:30
#2 楼
“安全问题”可能是解决难题的唯一方法。您有一个客户,他们失去了密码(以及他们的电子邮件访问权限),并且都想找回他们。让他们在您的办公室或与公证人进行亲自核对可能并不恰当,这实际上是唯一完全安全的解决方案(将安全的政府ID与他们的外观/生物特征进行匹配)。 br />
我认为使用这种验证方法的银行(例如)对每种欺诈行为的发生率都有很好的统计,并且会知道风险和收益(例如说我的银行需要确定我到国外旅行时,他们不能,他们失去了我一个客户,并失去了数以千计的终生利润-相比之下,他们允许欺诈性使用卡并直接损失成千上万次-但他们知道实际上只有5%的标记交易是欺诈)。
评论
究竟!每个人都基于这种方法的糟糕程度,但是应该承认,这是一个根本上很难解决的问题,而无需引入其他标识元素。
– Dennis Jaheruddin
18年5月18日在13:45
+1是一个务实的答案,它肯定了当今需要兼顾安全性和便利性。
–乔恩·本特利
18年5月18日在15:06
实际上,如果一家银行允许知道我母亲的娘家姓的任何人访问我的帐户,那会让我失去客户的速度甚至更快
–哈根·冯·埃岑
18年5月18日在20:13
“(将安全的政府ID与它们的外观/生物特征进行匹配)” ...政府ID可能是伪造的或丢失的。外观和生物特征可以改变。人们会失去手指,四肢或眼睛;他们的脸可能会受损而无法识别;他们可能会增加或减少大量体重;甚至他们的头骨形状也可能受到生物识别所无法识别的损害。坚持使用生物识别技术,就像坚持使用姓氏一样,对很多人都有效,但最终会失败。
–罗斯压机
18年5月19日在8:20
@HagenvonEitzen银行不关心您作为个人客户。他们关心自己的整体利润。如果他们平均通过便利的安全措施从保留的客户中获得的利润要比他们要离开的人员所蒙受的损失和/或他们必须承担的欺诈性交易造成的损失多,那么这样的政策才有意义。还请记住,欺诈性地使用帐户时,银行通常对客户(而不是客户)负责。
–乔恩·本特利
18年5月19日在13:40
#3 楼
嗜睡和/或惯性更严重的是,机构依靠这种信息在几十年中基本上是秘密的。大规模公开的数据泄露时代已经来临。
大多数组织对变化的反应都很慢。
简单为
评论
更为严重的是,机构依靠此信息在几十年中基本上是秘密的。您对此有任何参考,例如该示例或为证明这样做的理由而进行的解释?并不是因为我对此表示怀疑,相反,我迫不及待地想念过去为自己找到的借口,让自己认为这是可以的。
– SantiBailors
18年5月17日在9:46
抱歉-没有参考,只是个人回忆被要求提供此信息以验证我在Internet之前的身份。
–ste-fu
18年5月17日在10:02
@ ste-fu我也有同样的想法。现在有很多秘密问题。
– elsadek
18年5月20日在8:50
更为严重的是,美国的机构依赖此信息在几十年来一直是秘密的。其他国家/地区,不要将此类信息视为秘密。例如,瑞典直接在网上发布所有内容。
–罗布·罗斯(Rob Rose)
18年5月21日在17:32
@RobRose我在英国...从历史上看,有可能找到各种各样的东西。您仍然可以索取任何人的出生证明的副本,但必须付费。这不方便。
–ste-fu
18年5月21日在18:13
#4 楼
错误的假设。安全问题,就像“复杂”的密码要求一样,植根于所谓的最佳实践,但实际上并非如此。就像口头传统一样,其中许多做法都是从一个安全人员传给下一个安全人员,并且很少受到质疑(每当受到质疑时,通常就会证明它们是虚假的)。这些东西。有人提出了一个合理的想法,很快就出现了相当标准的此类问题清单,从那时起,每个人基本上都从那里复制了内容,没有提出质疑。几乎所有其他“安全性问题”都是危险,通常甚至比弱密码(例如,不在前20名中的任何密码)都更容易找出。
#5 楼
不幸的是,可用性高于安全性银行希望获得安全性,但要面对强制性要求可用性的客户群。
此客户不是由我们的同行组成。它包括那些害怕“笨拙的事物”的人,不了解变革并拒绝变革的老年人,智障人士,他们花了多年的时间来学习这个系统,却无法处理其他计划,更不用说工作人员了。以遗产代理人或残疾人的委托书行事的人。您设计的任何系统都必须对所有这些人都可用,除非您希望具有访问权限。我们陷入最低的公分母,或者以最慢的船速航行。
安全上的钱:责任转移
银行系统建立在信任之上,远远超过了任何人都愿意承认的。欺诈行为由非常活跃的安全人员控制,他们不必逃脱承担责任。如果银行安全性足够好,攻击者便可以使用一些更简单的赚钱手段,那么银行将获胜。那名本来会攻击银行的罪犯却威胁要成为IRS的特工,并让退休人员自愿退休西联汇款的人寿储蓄。那位退休人员无法回到银行要求他们退还钱,所以银行是明确的。
这种“负债转移”是银行战略的重要组成部分。他们所做的任何事情都会使负债从银行转移出去。他们不利于安装更强大的系统,一旦失败,该系统将给银行带来更多的责任。
评论
要点,这是寻求答案的领域。我只是不同意客户不是由我们的同行组成。它是。 “不了解变化的前辈”,弱智人士等的影响较小;除非您的意思是“软件开发人员的同行”;其他任何人,无论受教育程度,IQ或其他因素如何,因为绝大多数人都将立即寻求安全性之上的可用性,而无需成为老年人等,只需要考虑我们希望事物的实际状态(即,不降低安全性),并且如果不熟悉某个主题,那么思考就很容易。
– SantiBailors
18年5月22日在8:06
#6 楼
一般来说,“安全性问题”是一个非常愚蠢的主意。每次创建密码时,通常的建议是不要使用个人信息作为密码,例如上高中的时候或您喜欢的颜色或您驾驶的汽车,因为试图入侵您的帐户的黑客可能会发现或猜测这些东西。相反,您应该使用无意义的字母和数字字符串,这对任何人都应该是不可能的。因此,让我们创建安全问题,这些问题可以有效地用作备用密码,为此,我们将使用一些容易记住的东西,例如您上高中的地方,喜欢的颜色或驾驶的汽车。因为尽管黑客可能会尝试猜测这种个人信息来获取密码,但黑客却从未在一百万年内尝试猜测安全问题的答案。如果您使用一些个人信息作为密码,黑客将不会知道您使用的是高中还是喜欢的颜色或汽车品牌。但是遇到安全性问题,我们会告诉他真实的情况。
如果有人认识您,那么很多安全性问题将很容易找到或猜测。也许您是从另一个城市搬到这里的,但是您现在居住的地方很有可能长大,因此猜测该地区的高中将有很大的机会受到冲击。他可能知道您驾驶的是哪种车型。如果不是这样,那么就没有那么多不同的汽车品牌了。如果您要求人们提供他们最喜欢的颜色,大多数人会说出大约十二种。 (无论如何,大多数男人。女人往往比男人知道更多颜色的名字。)
我刚刚创建了一个系统,该系统最近将他们的安全性问题限制在可能性很小的事情上,然后为每个问题提供下拉菜单!所以告诉黑客,这是允许某人选择的20个可能的密码!我见过让我选择至少8个字符的密码的系统,因为如果我只输入6或7,则只有几十亿种可能性,并且黑客可能会通过蛮力攻击来获得它。但是,让我们有一个备用密码,可以在其中帮助列出20个选择。这使黑客不必担心被大写或拼写错误绊倒。
#7 楼
答案是一样的:为什么我们在现实生活中会拥有简单的锁,而这样的锁却很容易被撬开或断裂。我打赌发射核弹的密码无法通过母亲的娘家姓找回。但是典型的用户有2-3个,也许10个真正重要的帐户。以及其他数百个帐户。例如。电子网上商店中的帐户。我不太在乎是否有人会破解它,也不会知道我在2011年购买了什么。我不在乎在一个曾经有人问过一些建议的DIY论坛上的帐户。
对于很多这类帐户的人需要“简单锁”。简单的密码(如“ 123456”),不需要经常更改,并且可以轻松地恢复它。可用性超过安全性。如果用户想要可用性而不是安全性,那就不是必须的“糟糕”,就是这样。
#8 楼
安全问题的目的是长期有效。忘记/丢失密码时,您需要记住它。这就是为什么您无法轻易松散的固有信息非常适合的原因。这意味着该问题的第一个假设不合适。至于第二部分,它可能已经或已经成为公众知识: )选项,则不一定需要它们-您可以选择其中一种。由用户决定每个人在其上下文中的知名度(特别是在安全问题需要回答的阶段,攻击者是否可能知道她的正常名字。)
b)如果正确实施,安全性问题应该只是多路身份验证的一部分,因为它们总是比密码容易破解,另一个可能是访问您用来注册帐户的邮件地址。
因此,从方便性到解决初次使用问题的频谱,对于用户而言可能更方便,但这并不一定是一个错误的选择。我最喜欢的电影,宠物的名字等都不是最强的秘密。
至于b)当您尝试重设密码时,贝宝(Paypal)使用此方法使用多路身份验证方法。在他们的过程中,您需要提供对多个此类安全问题的解答。另外,您需要访问您的电子邮件地址。或者,您可以选择拨打已注册电话号码的电话,并将获得的代码用作第二种身份验证方法。它是多种措施的一部分-目标是兼顾便利性和安全性。
评论
“我最喜欢的电影,宠物的名字等都不是最强的秘密。” -是的,提供这些安全性问题几乎和要求母亲的娘家姓一样糟糕。所有安全性问题都是带有精美提示的密码。我的一家银行有一个特别荒谬的领域,标有“您难忘的答案”,却没有提出任何问题。为此,我使用与密码字段相同的密码生成器。
–IMSoP
18年5月17日在15:32
@IMSoP我的意思是,这样的问题还不错,它符合其目的。但是,有时将安全性问题作为回退组件实现是错误的,即。当它们仅用作恢复密码时,而不再用作主要身份验证方法时不再用作支持身份验证的组件。
–弗兰克·霍普金斯
18年5月17日在16:04
它适合什么目的?我从来没有见过这样的问题,除了尝试“知道的东西”安全因素(即等同于密码)以外,没有其他用途。为此,这是一个极差的选择-它鼓励用户选择攻击者可以轻易猜到的密码。如果其他因素得到了更好的设计,则将其与其他因素结合使用可能会减轻其糟糕性,但是将一串绳子与一个挂锁结合起来并不能使这串绳子成为一种很好的安全措施。
–IMSoP
18年5月17日在16:17
当然,这是您知道的一个因素,但是与密码相比,它应该-还有我在野外看到的密码-具有其他机制来防止滥用。直到错误答案被锁定并发送警告邮件为止,这类错误的答案非常严格。或用作通过邮件发送新密码之前的附加保护措施,或用作电话支持热线以及其他用于验证您身份的指示器。目的是当主要身份验证器(密码)不可用时,作为您身份的指示器。它不应该单独存在,也不应该提供与密码等效的访问权限。
–弗兰克·霍普金斯
18年5月17日在20:48
@IMSoP正如此答案所说,它是否是一种好的安全措施取决于其使用方式。银行要求您从密码中选择字符并验证个人信息(例如出生日期,母亲的娘家姓,地址等)并不罕见。密码会增加适度的安全性。例如。您的密码被记录在公用计算机上;攻击者仍然不知道您的个人信息。与此相反的是,母亲的姓氏使您可以绕过密码
–乔恩·本特利
18年5月19日在13:48
评论
评论不作进一步讨论;此对话已移至聊天。安全问题只是一个问题。我们不必假设每个人都会以实际的姓氏来回答。
@papakias然后,您也可以将问题替换为“请输入一个字符串并记住它”。哦,等等,这就是密码。安全性问题的关键是您不必记住它们,因为它们已经是您所知道的,因此您不会像忘记密码一样忘记它们。
@Jonah好吧,这也许是您在说的,但它也可能是用于恢复的附加(更易于记忆)密码。仅仅因为他们要一个母亲的娘家姓,并不意味着我要给他们一个真实的名字。这就是我的意思
@papakias安全问题背后的想法是,即使在数年后,您也将始终能够回答它,而无需记住创建时选择的文本。否则,他们将使用第二个密码来代替安全性问题。如果您没有在安全性问题中输入真实答案,那么最好不要输入任何允许的内容,或者输入很长且随机的内容,只是为了“禁用”安全性问题。也许这不适用于您,但是绝大多数人都不记得他们几年前输入的名字。