當(dāng)實(shí)施賬戶(hù)功能解決方案時(shí),項(xiàng)目小組要決策的無(wú)數(shù)問(wèn)題之一就是提出一組問(wèn)題來(lái)確認(rèn)那些忘記密碼的用戶(hù)身份。這些問(wèn)題可以支持重設(shè)密碼自主服務(wù),這種服務(wù)可以減少忘記密碼或者密碼過(guò)期而求助服務(wù)臺(tái)的電話(huà)數(shù)目。許多項(xiàng)目小組趨向于重新利用“我母親的婚前姓氏是什么”的方法來(lái)設(shè)計(jì)安全問(wèn)題。這種方法的特點(diǎn)是通過(guò)詢(xún)問(wèn)用戶(hù)以下問(wèn)題來(lái)確認(rèn)用戶(hù)身份:
|
這些問(wèn)題的控制性都非常弱,在一篇4月份的博客里,我寫(xiě)了一篇怎樣從互聯(lián)網(wǎng)上輕松地獲得這些信息的文章。在OWASP.ORG網(wǎng)站上的一篇文章里,Mike Burnet描述了對(duì)于破壞這些最普遍的身份確認(rèn)問(wèn)題的丟失難易程度。
鑒于這些類(lèi)型的問(wèn)題實(shí)際上可能會(huì)削弱訪問(wèn)控制,我需要提出一些指導(dǎo)方針,以便我們創(chuàng)造新名單時(shí)遵循。這個(gè)清單準(zhǔn)則可以為用戶(hù)提供方便的途徑,提供身份認(rèn)證的證據(jù),以及可接受的安全程度。在2007年4月Gartner的文章中,我發(fā)現(xiàn)了我需要的這些資料。
該文章列舉了4條建議來(lái)設(shè)計(jì)問(wèn)答式身份確認(rèn)(問(wèn)答式身份確認(rèn)的最優(yōu)方法,Gartner ID Number G00147464)
1、設(shè)計(jì)一個(gè)只有用戶(hù)自己知道的復(fù)雜但容易記住答案的問(wèn)題,避免出現(xiàn)攻擊者容易發(fā)現(xiàn)或者猜對(duì)答案的問(wèn)題。
2、保持與機(jī)構(gòu)網(wǎng)絡(luò)和系統(tǒng)密碼一樣的安全程度,目的是為了使攻擊者破解這些安全問(wèn)答時(shí)遇到與破解密碼同樣的難度。
3、當(dāng)只用問(wèn)答的方法來(lái)確認(rèn)身份時(shí),要在至少5個(gè)問(wèn)題的庫(kù)中選用至少3個(gè)問(wèn)題(建議用7個(gè)問(wèn)題的庫(kù))。
4、當(dāng)問(wèn)答作為附加的方法來(lái)驗(yàn)證身份時(shí),要在至少3個(gè)問(wèn)題的庫(kù)中選用至少2個(gè)問(wèn)題(建議用5個(gè)問(wèn)題的庫(kù))。
當(dāng)你設(shè)計(jì)問(wèn)題時(shí),詢(xún)問(wèn)一些用戶(hù)能確實(shí)記住了答案的問(wèn)題是非常機(jī)警的。例如有這樣一個(gè)問(wèn)題:你最喜歡的小學(xué)老師是誰(shuí)?這個(gè)問(wèn)題的答案可能在用戶(hù)提供答案和用戶(hù)不得不證明他/她 的身份時(shí)不同,這就要求用戶(hù)必須記住答案。
所有的安全控制問(wèn)題都是有風(fēng)險(xiǎn)的,如果我們正巧教授關(guān)于安全問(wèn)題的風(fēng)險(xiǎn)時(shí),如果他們能夠接受我們提出的清單準(zhǔn)則的風(fēng)險(xiǎn)度,那么我們的工作就完成了。剩下的重要問(wèn)題就是擴(kuò)展我們對(duì)于身份認(rèn)證方法重要性的認(rèn)識(shí)。
