Gå til innhold

Google: Sikkerhetsspørsmål er ikke sikkert

AfterGlow

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
xRun

xRun

Skrevet
Skrevet

"SMS-koder som sendes til mobiltelefonen eller på e-post"

2-faktor på passordrecovery? Burde vært standard. Men ift. sikkerhetsspørsmålet, hva med å benytte et eget passord der dette spørsmålet er hva som tilbys. Hvis svaret er en lang alfanumerisk rekke som inkluderer store/små/tall/spesialtegn, da gjetter man ikke rett svar i en fei.

Lenke til kommentar
War

War

Skrevet
Skrevet

Det er iallefall en fordel om nytt passord sendes til eposten og at man ikke bare kommer rett inn.

Da må man ha tilgang på den også og forhåpentligvis , selv om de mener det er lett burde det kreve to steg.

 

 

2veis burde man iallefall gidde å ha på epostkontoen, med den kan man jo resette de fleste passord.

Lenke til kommentar
G

G

Skrevet
Skrevet

Herregud, hvor vanskelig er det å finne på et god-dag-mann-økseskaft motsvar til sikkerhetsspørsmålet!

 

Hva er din favorittrett? Svar: Betong, gråstein, stål, flass, barn, bestemødre, meitemark, papir, hårfønere, dynamitt, bølger, motorsykkel, bjørk, skyer, satan, månekrater, sverd, spissmus, eselører, motor, kosebamse, hårgele, maling, piasava-kost, bakepapir, 23+1=200, reklame, bursdagskort ..

 

(og listen blir uendelig lang, for den med bare ørlite fantasi)

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

 

Eks: Din mors opprinnelige etternavn:

Svar:BMW-m3-Convertible

Problemet oppstår jo når du om 5 år glemmer passordet ditt og lurer veldig på hvorfor din mors opprinnelige etternavn som svar på spørsmålet ikke funker...

 

 

 

Vel, da går det an å prate med et ordentlig menneske på kundesupporten. Om de hører svaret ditt omtrent stemmer, så er det ikke innertier, men kanskje de da må gå igjennom ekstra verifiseringsprosesser, altså ikke bare gi fra seg svaret sånn uten videre. Sosial engineering må jo ikke fungere i denne prosessen.

 

Kanskje de da krever en 3-stegs verifisering av deg. Send oss kopi av passet ditt, eksempelvis som et av disse steg. Hvilken skurk har tilgang på alt det de trenger i en omfattende verifiseringsrunde?

 

For ikke å glemme, at eier av "konto" må varsles via, la oss si mobiltelefoni. Om at nødverifisering er igangsatt. Slik at det går an å låse ned kontoen for noen dager, som et ekstra mottiltak, tilfelle dette skulle være nødvendig.

 

Et ekstra opplegg kunne være at et nasjonalt politimyndighet, kunne iverksette en "honningkrukke" for å forsøke å fiske inn informasjon om den kriminelle som driver å forsøke tilegne seg tilgang til din konto.

Endret av G
Lenke til kommentar
CafSneak

CafSneak

Skrevet
Skrevet

Jeg kan virkelig ikke fordra den løsningen med sikkerhetsspørsmål. Tror heller ikke det er nødvendig i veldig mange tilfeller, stort sett holder det å si man har glemt passordet sitt og deretter få en epost med reset link. Har man glemt passordet til eposten sin så burde man ha en alternativ epost (enten en du har selv eller eposten til noen du stoler på, familie, venner etc). Sending av engangskoder på sms er også en god løsning, bare sikkerhetsspørsmål holder seg langt unna meg.

Lenke til kommentar
aklla

aklla

Skrevet
Skrevet

Vel, da går det an å prate med et ordentlig menneske på kundesupporten. Om de hører svaret ditt omtrent stemmer, så er det ikke innertier, men kanskje de da må gå igjennom ekstra verifiseringsprosesser, altså ikke bare gi fra seg svaret sånn uten videre. Sosial engineering må jo ikke fungere i denne prosessen.

 

Svaret på spørsmålet "din mors opprinnelige etternavn" er BMW-m3-Convertible, du sier din mors opprinnelige etternavn er Fleksenes(om det er det) når du snakker med personen i andre enden, ser ikke hvordan dette kan stemme omtrent.

 

Klarer man glemme passordet sitt klarer man antagelig å glemme hva man skrev inn som sikkerhetsspørsmål også...

Mtp. sikkerhet er det best å ha ett svar som ikke er relatert til spørsmålet. Mtp. at man glemmer slike ting er det ikke så lurt :)

 

Det tryggeste er nok registrere eget telefonnummer og eposten til noen man stoler på man kan bruke for å resette passordet.

  • Liker 1
Lenke til kommentar
G

G

Skrevet
Skrevet

Jeg er uenig. Dersom sikkerhetsspørsmålet er det smarteste de klarer å finne på. Så må man ikke la seg blende av slike brukere som ikke orker tungvint tilgang.

 

Vanligvis er passord et helvete å huske på for noen blant oss. Det er jo gjerne derfor mange bruker samme passord på forskjellige tjenester. Men, å dra det dithen at alt skal forenkles til det aller enkleste kan ramme sikkerheten.

 

Ofte kan engangskoder på sms være grei skuring det. Men, hva om skurken er i din nære omgangskrets, og har planlagt å fiske til seg mobiltelefonen før "han" slår til? Det tar kanskje ikke så lang tid før du oppdager at mobilen er "gjenglemt", "stjålet" eller hva du enn måtte tenke deg. Men, du klarer ikke å få løpt til en telefon og få blokkert telefonabonnement tidsnok, eller gjør du?

 

Kan hende du tar det litt piano og venter et døgn minst med det, i tilfelle du skulle klare å kjøre tilbake og lete opp den mistede mobilen.

Lenke til kommentar
G

G

Skrevet
Skrevet (endret)

 

 

Det tryggeste er nok registrere eget telefonnummer og eposten til noen man stoler på man kan bruke for å resette passordet.

 

 

Ja, kanskje om man er blitt "senil".  Da kan man kanskje ikke ha noe på internettet å gjøre lengre, uten at noen holder en i hånden.

 

Om man klarer å glemme det, ja helt sikkert. Om man klarer å huske sånn omtrentlig, ja det kan jo hende. Spesiellt om man har stappet på en tallrekke eller noe liknende i farten. Årstall er jo svært populære tallrekker, ikke sant. Da tenker jeg ikke nødvendigvis på fødselsåret til noen nær deg. Men kanskje på registreringsåret du tok i bruk tjenesten det er snakk om du ønsker tilgang til. Slik kan være vanskelig å huske nøyaktig.

 

La oss si det passordet ditt var "orangutang2000", fordi du registrerte deg på "tjeneste1" i år 2000. Kan hende du ikke husker nøyaktig, og forsøker orangutang2002. Da går det selvfølgelig an å teste årene et for et til man kommer inn. Men, om tjenesten blokker deg ute etter 3 forsøk og du har brukt dem opp, så sitter du der.

 

Også har man alt det andre herket, som innloggingstjenester kan be kunden sine om. For eksempel du må ha en STOR bokstav i passordet. Det er jo vanlig å sette det på første bokstav (som vi vet reduserer sikkerheten). Da blir det Orangutang2000. Men, om du var smartere og hadde valgt orangUtang2000, så kan det være lett å glemme.

 

Dersom du da leser tilbake orangutang2000 til kundestøtten, så forstår de gjerne at "det kan hende" du er riktig eier, men det var ikke innertier.

Endret av G
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...