Question:
Pourquoi le nom de jeune fille de la mère est-il toujours utilisé comme question de sécurité?
Alexei
2018-05-16 19:19:32 UTC
view on stackexchange narkive permalink

De temps en temps, certains sites Web demandent à saisir une question de sécurité et une réponse. La liste de questions est standard et comprend généralement "Quel est le nom de jeune fille de votre mère?".

Certaines personnes utilisent le vrai nom de jeune fille de leur mère pour être sûrs de se souvenir de ce qu'il faut fournir lorsqu'on leur demande (par exemple partie du processus de récupération du compte). Cela signifie que cette information est fixe pendant une très longue période de temps. S'il arrive qu'une application Web soit piratée et qu'une telle réponse soit associée à une adresse e-mail (ou pire, à des informations personnellement identifiables), cela peut potentiellement créer une vulnérabilité pour d'autres applications Web.

Aussi , le nom de jeune fille de la mère peut être partagé dans l'espace public.

En supposant les problèmes ci-dessus avec cette question de sécurité (ou toute autre question de sécurité qui repose sur une constante dans la vie):

Pourquoi le nom de jeune fille de la mère est-il toujours utilisé comme question de sécurité?

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/77755/discussion-on-question-by-alexei-why-is-mothers-maiden-name-still-used-as-une seconde).
Une question de sécurité n'est qu'une question.Nous n'avons pas à supposer que tout le monde répondra avec le vrai nom de jeune fille.
@papakias Ensuite, vous pouvez également remplacer la question par "veuillez saisir une chaîne de caractères et mémoriser".Oh attendez, c'est ce que sont les mots de passe.Le point des questions de sécurité est que vous n'avez pas besoin de les mémoriser car ce sont des choses que vous connaissez déjà, vous ne pouvez donc pas les oublier comme si vous oubliez un mot de passe.
@Jonah Eh bien, c'est peut-être ce que vous dites, mais cela peut aussi être un mot de passe supplémentaire (plus facile à retenir) pour la récupération.Ce n'est pas parce qu'ils demandent le nom de jeune fille d'une mère que je vais leur donner le vrai.C'est mon point
@papakias L'idée derrière les questions de sécurité est que vous serez toujours en mesure d'y répondre, même des années plus tard, sans avoir besoin de vous souvenir du texte que vous avez choisi lors de sa création.Sinon, au lieu d'une question de sécurité, ils utiliseraient un deuxième mot de passe.Si vous n'entrez pas de vraies réponses aux questions de sécurité, vous feriez mieux de ne rien entrer du tout si cela est autorisé, ou de saisir quelque chose de très long et aléatoire, juste pour "désactiver" la question de sécurité.Peut-être que cela ne s'applique pas à vous, mais la grande majorité des gens ne se souviendront pas du nom inventé qu'ils avaient saisi il y a des années.
@SantiBailors oui les gars, je ne suis pas en désaccord avec vous.Je souligne simplement que remplir les vraies réponses n'est pas toujours le cas.La question de sécurité n'est qu'un outil.Et tout le monde peut l'utiliser différemment.
@Strawberry - La plupart des gens [n'utilisent pas de gestionnaires de mots de passe] (http://www.pewinternet.org/2017/01/26/2-password-management-and-mobile-security/) pour conserver leurs mots de passe, donc jeparie que beaucoup utilisent le vrai nom, pour ne pas l'oublier.
@Strawberry - J'ai corrigé le message pour être plus précis.
Huit réponses:
#1
+231
Anders
2018-05-16 19:30:39 UTC
view on stackexchange narkive permalink

Parce que les gens sont paresseux et / ou incompétents. Et bien, vous savez, Internet est plein de chimpanzés.

Je dirais que toutes les questions de sécurité sont mauvaises, mais utiliser le nom de jeune fille de la mère est exceptionnellement mauvais:

  • Au moins en Suède, je peux connaître le nom de jeune fille de n'importe qui en un simple appel au bureau des impôts. C'est littéralement une information publique.
  • Nous sommes en 2018 et il est assez courant que les couples adoptent le nom de la mariée lorsqu'ils se marient. Le nom de jeune fille de votre mère est alors votre nom de famille. Super.
  • Luis Casillas ajoute à juste titre:

    Il y a des dizaines de pays, avec des milliards d'habitants entre eux, où les femmes ne ne change pas de nom légal quand ils se marient. Les États-Unis en particulier ont d'énormes minorités d'immigrants de ces pays.

Sérieusement, il n'y a aucune excuse pour cela. C'est juste mauvais.

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/77756/discussion-on-answer-by-anders-why-is-mothers-maiden-name-still-used-as-a-secur).
#2
+28
Rich
2018-05-18 06:27:37 UTC
view on stackexchange narkive permalink

Les "questions de sécurité" peuvent être la seule solution à un problème difficile. Vous avez un client, il a perdu son mot de passe (et son accès aux e-mails) et vous aimeriez tous les deux le récupérer.

Il n'est peut-être pas proportionné de leur faire effectuer une vérification en personne dans vos bureaux ou avec un notaire, ce qui serait vraiment la seule solution totalement sécurisée (faire correspondre l'identifiant gouvernemental sécurisé à leur apparence / biométrie).

Je pense que les banques (comme par exemple) qui utilisent ce type de vérification ont d'assez bonnes statistiques sur la prévalence de chaque type de fraude et connaîtront les risques et les avantages (par exemple, dire que ma banque doit m'identifier quand voyageant à l'étranger, ils ne peuvent pas et ils me perdent un client avec des dizaines de milliers de bénéfices à vie - par opposition à l'utilisation frauduleuse d'une carte et en perdent directement des dizaines de milliers - mais ils savent que seulement 5% des transactions signalées sont en fait frauduleuses) .

Exactement!Tout le monde se moque de la gravité de l'approche, mais il faut reconnaître qu'il s'agit d'un problème fondamentalement difficile à résoudre sans introduire d'éléments d'identification supplémentaires.
+1 pour une réponse pragmatique qui reconnaît le besoin toujours présent d'équilibrer sécurité et commodité.
En fait, une banque qui autorisait l'accès à mon compte à toute personne connaissant le nom de jeune fille de ma mère me perdrait encore plus rapidement en tant que client
"(faisant correspondre l'identifiant gouvernemental sécurisé à leur apparence / biométrie)" ... Les identifiants gouvernementaux peuvent être falsifiés ou perdus.L'apparence et la biométrie peuvent changer.Les gens peuvent perdre des doigts, des membres ou des yeux;leur visage peut être endommagé au-delà de la reconnaissance;ils peuvent gagner ou perdre de grandes quantités de poids;même leur forme de crâne peut être endommagée au-delà de ce que la biométrie reconnaîtrait.Insister sur la biométrie, [comme insister pour avoir un nom de famille] (https://www.kalzumeus.com/2010/06/17/falsehoods-programmers-believe-about-names/), fonctionnera pour beaucoup de gens, maisfinira par échouer.
@HagenvonEitzen La banque ne se soucie pas de vous en tant que client individuel.Ils se soucient de leurs bénéfices globaux.S'ils réalisent en moyenne plus de profits avec les clients qu'ils fidélisent grâce à des mesures de sécurité pratiques que les pertes qu'ils subissent sur les personnes qui partent et / ou les transactions frauduleuses qu'ils doivent couvrir, une telle politique a du sens.Gardez également à l'esprit que les banques sont généralement responsables (plutôt que vous, le client) lorsqu'un compte est utilisé de manière frauduleuse.
@JonBentley _La banque ne se soucie pas de vous en tant que client individuel._ C'est malheureusement vrai et la raison pour laquelle ces banques n'ont aucun problème à vous exposer à la fraude au nom de leur profit global.Si leur politique avait autant de sens, alors lorsqu'ils vous proposent un compte bancaire sur Internet, parmi les clauses qu'ils vous font souscrire, ils ne devraient avoir aucun problème à ajouter les informations selon lesquelles votre compte sera accessible à quiconque connaît le nom de jeune fille de votre mère;mais pour une raison quelconque, ils n'ajoutent pas cette information;probablement parce que ce n'est pas si normal après tout, juste commun.
@JonBentley C'est réconfortant à savoir.Donc au moins personne n'a de mauvais sentiments quand je quitte une banque avec des formes extrêmement stupides de théâtre de sécurité
#3
+26
ste-fu
2018-05-16 19:30:30 UTC
view on stackexchange narkive permalink

Léthargie et / ou inertie

Plus sérieusement, les institutions se sont appuyées sur cette information essentiellement secrète pendant quelques décennies. L'ère des violations massives de données est très récente.

La plupart des entreprises réagissent lentement au changement.

Simple comme

_Plus sérieusement, les institutions se sont appuyées sur le fait que ces informations étaient essentiellement secrètes pendant quelques décennies.Pas parce que j'en doute, au contraire j'ai hâte de lire les excuses que nous nous sommes trouvées dans le passé pour nous permettre de penser que c'était correct.
Désolé - pas de références, juste un souvenir personnel d'avoir été invité à fournir ces informations pour vérifier mon identité avant Internet.
@ste-fu J'allais répondre avec la même pensée.beaucoup de questions secrètes sont dans la nature maintenant.
Plus sérieusement, les institutions * aux États-Unis * se sont appuyées sur le fait que ces informations étaient essentiellement secrètes pendant quelques décennies.Autres pays, ne considérez pas ce genre d'information comme un secret.La Suède, par exemple, publie tout cela en ligne.
@RobRose Je suis au Royaume-Uni ... historiquement, il était possible de trouver toutes sortes de choses.Vous pouvez toujours demander une copie de l'acte de naissance de n'importe qui, mais vous devez payer.Ce n'était pas pratique.
#4
+24
Tom
2018-05-17 13:15:24 UTC
view on stackexchange narkive permalink

De fausses hypothèses.

Les questions de sécurité, tout comme les exigences de mot de passe "complexes", sont enracinées dans ce que l'on appelle les meilleures pratiques, mais ce n'est pas le cas. Comme une tradition orale, beaucoup de ces pratiques sont transmises d'un agent de sécurité à l'autre, et rarement questionnées (chaque fois qu'elles sont interrogées, il s'avère souvent qu'elles sont fausses).

Les questions de sécurité sont l'une des ces choses. Quelqu'un a eu une idée raisonnable, et très vite une liste assez standard de ces questions a évolué, et depuis lors, tout le monde a essentiellement copié à partir de là, sans se poser de questions.

Alors oui, vous avez raison, ceci et presque toute autre "question de sécurité" est un danger et généralement beaucoup, beaucoup plus facile à comprendre que même un mot de passe faible (par exemple, tout ce qui ne figure pas dans la liste des 20 premiers).

#5
+11
Harper - Reinstate Monica
2018-05-21 02:03:07 UTC
view on stackexchange narkive permalink

Convivialité plutôt que sécurité, malheureusement

Les banques veulent être sécurisées, mais font face à une clientèle pour laquelle la convivialité est obligatoire .

Cette clientèle n'est pas composée de nos pairs. Cela inclut ceux qui craignent "le gub'mint", les seniors qui ne comprennent pas le changement et y résistent, les handicapés mentaux qui ont mis des années à apprendre ce système et qui ne peuvent tout simplement pas traiter un autre programme, sans parler des membres du personnel par exemple une personne agissant avec procuration pour une succession ou une personne handicapée. Le système que vous concevez doit être accessible à toutes ces personnes, à moins que vous ne souhaitiez avoir des niveaux d'accès. Nous sommes coincés avec le plus petit dénominateur commun, ou convoyons à la vitesse du navire le plus lent.

L'argent plutôt que la sécurité: transfert de responsabilité

Le système bancaire est bâti sur la confiance bien plus que quiconque voudrait l'admettre. La fraude est maîtrisée par un personnel de sécurité très actif, qui n'a pas à distancer l'ours . Si la sécurité bancaire est juste suffisante pour que les attaquants adoptent des moyens plus simples de gagner de l’argent, la banque gagne. Ce criminel qui aurait attaqué la banque, menace à la place d'être un agent de l'IRS et oblige un retraité à prendre volontairement à Western Union ses économies. Ce retraité ne peut pas revenir à la banque et réclamer son argent, alors la banque est en clair.

Ce type de «transfert de responsabilité» fait partie intégrante de la stratégie bancaire. Tout ce qu'ils font va détourner la responsabilité de la banque. Ils découragent d'installer un système plus solide qui, en cas d'échec, crée une responsabilité accrue pour la banque.

Grands points, c'est le domaine où chercher la réponse.Je ne suis pas d'accord pour dire que la clientèle n'est pas composée de nos pairs.Il est.L'influence des «aînés qui ne comprennent pas le changement», des handicapés mentaux, etc. est mineure;sauf si vous voulez dire "les pairs des développeurs de logiciels";toute autre personne, quel que soit son niveau d'éducation, son QI ou autre, car la grande majorité optera pour la convivialité plutôt que pour la sécurité tout de suite, pas besoin d'être des personnes âgées, etc.(c'est-à-dire que la sécurité n'est pas abaissée), et penser ainsi est extrêmement facile quand on n'est pas familier avec un sujet.
#6
+3
Jay
2018-05-22 03:08:39 UTC
view on stackexchange narkive permalink

Les «questions de sécurité» en général sont une idée incroyablement stupide.

Chaque fois que vous créez un mot de passe, il est conseillé de dire régulièrement que vous ne devez pas utiliser d'informations personnelles pour un mot de passe, comme l'endroit où vous êtes allé lycée ou votre couleur préférée ou la marque de voiture que vous conduisez, car un pirate informatique essayant de pénétrer votre compte pourrait être en mesure de découvrir ou de deviner ces choses. Au lieu de cela, vous devriez utiliser une chaîne de lettres et de chiffres sans signification, qui devrait être impossible à deviner.

Mais ... nous comprenons que les chaînes de lettres et de chiffres sans signification sont difficiles à retenir. Créons donc des questions de sécurité, qui fonctionnent efficacement comme des mots de passe alternatifs, et pour celles-ci, nous utiliserons quelque chose de facile à retenir, comme l'endroit où vous êtes allé au lycée ou votre couleur préférée ou la marque de voiture que vous conduisez. Parce que si un pirate peut essayer de deviner ce type d'informations personnelles pour un mot de passe, il ne viendrait jamais un million d'années à un pirate d'essayer de deviner la réponse à une question de sécurité.

Au moins si vous utilisé certaines informations personnelles pour un mot de passe, le pirate informatique ne saurait pas si vous avez utilisé votre lycée ou votre couleur préférée ou une marque de voiture. Mais avec les questions de sécurité, nous lui disons de quoi il s'agit.

Si quelqu'un vous connaît, de nombreuses questions de sécurité seraient faciles à trouver ou à deviner. Peut-être avez-vous déménagé ici d'une autre ville, mais il y a de fortes chances que vous ayez grandi là où vous vivez maintenant, alors deviner que les écoles secondaires de la région auraient de bonnes chances d'obtenir un succès. Il sait peut-être quel modèle de voiture vous conduisez. Sinon, il n'y a pas autant de marques de voitures différentes. Si vous demandez aux gens leur couleur préférée, la plupart des gens en nommeront une parmi une douzaine. (Enfin, la plupart des hommes, en tout cas. Les femmes ont tendance à connaître les noms de beaucoup plus de couleurs que les hommes.)

Un système sur lequel je viens de créer un compte a récemment limité ses questions de sécurité à des choses avec un assez petit nombre de possibilités, puis a fourni des listes déroulantes pour chacun d'eux! Alors dites au hacker, voici les 20 mots de passe possibles parmi lesquels quelqu'un pouvait choisir! J'ai vu des systèmes qui me font choisir un mot de passe d'au moins 8 caractères car si je viens de taper 6 ou 7, ce n'est que quelques milliards de possibilités, et un pirate pourrait l'obtenir avec une attaque par force brute. Mais alors ayons un mot de passe alternatif où nous listons utilement les 20 choix. Cela évite au pirate d'avoir à s'inquiéter d'être trébuché par une majuscule ou une faute d'orthographe.

#7
+3
yaroslaff
2018-05-22 04:38:00 UTC
view on stackexchange narkive permalink

La réponse est la même que: pourquoi avons-nous des serrures simples dans la vraie vie, qui sont si faciles à crocheter ou à casser.

Il est toujours bon de laisser l'utilisateur sélectionner son niveau de sécurité .

Je parie que le mot de passe pour lancer des bombes nucléaires ne pourrait pas être récupéré par le nom de jeune fille de la mère. Mais l'utilisateur typique a 2-3, peut-être 10 comptes vraiment importants. Et des centaines d'autres comptes. Par exemple. compte dans la boutique en ligne électronique. Je ne me soucie pas vraiment si quelqu'un le piratera et saura ce que j'ai acheté en 2011. Je me fiche du compte sur un forum de bricolage où j'ai demandé une fois quelques conseils.

Pour beaucoup de ces comptes, les gens ont besoin «serrures simples». Des mots de passe simples (comme '123456'), aucune obligation de le changer souvent et un moyen facile de le récupérer. Convivialité plutôt que sécurité. Et ce n'est pas "malheureusement", c'est comme ça que ça doit être, si l'utilisateur veut plus de convivialité que de sécurité.

#8
+2
Frank Hopkins
2018-05-17 19:52:36 UTC
view on stackexchange narkive permalink

Le but de la question de sécurité est la validité à long terme. Vous devez vous en souvenir lorsque vous avez oublié / perdu le mot de passe. C'est pourquoi une information inhérente que vous ne pouvez pas facilement perdre s'adapte bien. Cela signifie que la première hypothèse de la question ne correspond pas.

Quant à la deuxième partie qui pourrait être ou déjà connue du public: a) Ces questions de sécurité sont généralement (si elles sont correctement faites) une option, vous n'en ont pas nécessairement besoin - et vous pouvez en choisir un parmi tant d'autres. Il appartient à l'utilisateur de décider de la notoriété publique de chacun dans son contexte (en particulier, si un attaquant connaît probablement son nom normal au stade où la question de sécurité doit trouver une réponse).
b) correctement implémentées, la question de sécurité ne devrait être qu'une partie d'une authentification multi-voies, car elles sont toujours plus faciles à casser qu'un mot de passe, une autre peut être l'accès à l'adresse e-mail avec laquelle vous avez créé un compte.

Ainsi, sur le spectre de la commodité à la sécurisation, la question initiale peut être plus pratique pour les utilisateurs, ce n'est pas nécessairement toujours un mauvais choix. Mon film préféré, le nom de mon animal de compagnie, etc. ne sont pas tous les secrets les plus puissants.

Comme pour b) Paypal utilise cette approche pour utiliser une approche d'authentification multi-voies lorsque vous essayez de réinitialiser votre mot de passe. Dans leur processus, vous devez fournir des réponses à plusieurs questions de sécurité de ce type. De plus, vous devez avoir accès à votre adresse e-mail. Vous pouvez également choisir de recevoir un appel vers un numéro de téléphone enregistré et utiliser le code que vous obtenez comme deuxième méthode d'authentification. Cela fait partie d'un mélange de mesures - l'objectif étant de fournir un compromis entre commodité et sécurité.

"Mon film préféré, le nom de mon animal de compagnie, etc. ne sont pas tous les secrets les plus puissants."- Oui, les proposer comme questions de sécurité est ** presque aussi mauvais ** que de demander le nom de jeune fille de la mère.Toutes les questions de sécurité sont des mots de passe habillés avec une invite sophistiquée.L'une de mes banques a un champ particulièrement insensé intitulé "votre réponse mémorable", sans poser de question.J'utilise le même générateur de mot de passe pour cela que pour le champ intitulé "code d'accès".
@IMSoP Mon point est que la question en tant que telle n'est pas mauvaise, elle correspond à son objectif.Mais parfois, la mise en œuvre des questions de sécurité en tant que * composant * de secours est mal faite, c'est-à-dire.lorsqu'ils sont utilisés simplement comme mot de passe de récupération, et non comme un composant pour prendre en charge l'authentification lorsque la méthode d'authentification principale n'est plus disponible.
À quoi cela correspond-il?Je n'ai jamais vu une telle question utilisée autrement que comme une tentative d'un facteur de sécurité «quelque chose que vous savez» - c'est-à-dire équivalent à un mot de passe.À cette fin, il s'agit d'un choix extrêmement médiocre - il encourage les utilisateurs à sélectionner un mot de passe que les attaquants pourraient facilement deviner.Le combiner avec d'autres facteurs pourrait atténuer son horreur si les autres facteurs sont mieux conçus, mais combiner un morceau de ficelle avec un cadenas ne fait pas du morceau de ficelle une bonne mesure de sécurité.
Bien sûr, c'est un facteur que vous connaissez, mais contrairement à un mot de passe, il devrait - et je l'ai vu de cette façon dans la nature - avoir d'autres mécanismes de protection contre les abus.Comme une quantité très faible de mauvaises réponses jusqu'à ce qu'il soit verrouillé et qu'un mail d'avertissement soit envoyé.Ou utilisé comme une protection supplémentaire avant d'envoyer un nouveau mot de passe par courrier électronique Ou utilisé dans une hotline d'assistance téléphonique avec d'autres indicateurs pour vous authentifier.Son but est d'être un indicateur de votre identité lorsque l'authentificateur principal (mot de passe) n'est pas disponible.Il ne doit pas être autonome ou donner un accès équivalent au mot de passe.
@IMSoP Comme le dit cette réponse, le fait qu'il s'agisse ou non d'une bonne mesure de sécurité dépend de la manière dont il est utilisé.Il n'est pas rare qu'une banque vous demande des caractères sélectionnés en dehors de votre mot de passe * et * pour vérifier des informations personnelles telles que la date de naissance, le nom de jeune fille de la mère, l'adresse etc. Alors que ces derniers sont faibles * par eux-mêmes *,utilisés en plus d'un mot de passe, ils * ajoutent * un niveau de sécurité modéré.Par exemple.votre mot de passe est enregistré sur un ordinateur public;l'attaquant ne connaît toujours pas vos informations personnelles.Comparez cela avec le nom de jeune fille d'une mère qui vous permet de * contourner * le mot de passe


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...