要求用户提供密码提示有哪些安全隐患?存储用户提示的最佳实践是什么?在使用用户提供的密码提示来指导密码破解应用程序方面进行了哪些研究?
注意 - 看起来 Adobe 惊人的失败,1.3 亿个可逆加密的密码,连同他们的提示一起存储,将刺激这个领域......向XKCD 致敬以分享新闻,以及诱人的标题“历史上最伟大的填字游戏”世界”:1286:加密 - 解释 XKCD
新的 GOTCHA 方法:生成 panOptic Turing 测试以区分计算机和人类使破解变得更加困难,并将 AI 带入该领域:Inkblot 密码可以帮助提高在线安全 - UPI.com。
提示对安全性的真实影响是巨大的。莎拉佩林的账户被黑了,因为有人发现了她的高中。
提示本质上是公共信息。它们会提供给单击“我忘记密码”的任何不受信任的人。仅在这种情况下,加密它们没有多大意义。但 Adobe 证明,使用加密密码存储提示会带来额外的弱点。
一般来说,安全性仍然必须归结为对加盐密码进行适当的哈希处理。存储密码是不安全的。未散列的密码是不安全的。欧洲央行是不安全的。他们的任何错误都不是已经为公众所知的,而且他们都未能遵循最佳实践。
我会推荐加密提示吗?相反,我建议他们使用带外密码重置过程(通过 SMS 或其他方法)并完全跳过提示。
我们讨论了两个安全隐患(在最终选择不提供密码提示功能之前):
您必须防止用户的提示过于具体。(例如“我家的电话号码”)
您必须防止用户将密码的一部分放入提示本身。
仍然与业务流程相关的非安全问题:
额外的注册字段会降低转化率。
一小部分人会抱怨提示字段的存在,即使它是可选的。
有一些来自现实世界的硬数据会很好。因此,如果您认识负责用户管理的任何人,其业务流程确实涉及密码提示和重置问题,请将他们指向此线程!