当我偶然发现使用安全问题的建议时,我正在阅读OWASP Forgot Password Cheat Sheet 。
甚至还有一个关于收集什么信息的专门页面。
每当我在网站上看到这样的“功能”时,我都会觉得对大多数用户来说是难以置信的不安全,因为大多数用户会选择一个可能很容易被稍微了解这个人的人找到答案的问题。所以我很惊讶在 OWASP 上看到这样的推荐。
实施安全问题真的是个好主意吗?
为什么 OWASP 推荐安全问题?
信息安全
验证
密码
密码管理
owasp
秘密问题
2021-09-09 17:30:59
1个回答
特别是关于安全问题,您要求用户分享关于他们自己的潜在敏感事实,这些事实可能通过他们附近的人的社会工程获得。从整体安全的角度来看,这使得安全问题充其量是不可取的,最坏的情况是彻头彻尾的危险。
OWASP 虽然总体上很好地解释了这些问题,但提出了许多不明智的建议,包括安全问题、输入白名单和阻止加载大多数 XML 文档的 XXE 缓解措施。照原样接受问题描述,但在考虑实施它们之前仔细检查它们的解决方案。