Mitt favorithusdjur har fel namn

Många webbplatser och tjänster kompletterar idag lösenord med en resetfunktion som baseras på att man kan svara på ett antal frågor. Dessa frågor är baserade på att jag lagt in svar på ett antal frågor (som systemet tillhandahåller) som kan variera lite i karaktär men nedan listar jag några vanliga exempel:

  • Vad heter ditt favorithusdjur?
  • Var växte din pappa upp?
  • Vilken är plats är din favoritplats?
  • Vilket är din mors ursprungliga efternamn?

Oftast får man välja bland ett antal färdiga frågor och uppge ett svar. Så jag väljer tre stycken av ovanstående (jag har förvanskat frågorna och svaren något ska tilläggas) :

Vad heter ditt favorithusdjur? – Alf

Var växte din pappa upp – Tanumshede

Vilken är plats är din favoritplats? – Tanumshede

Sådär det var ju inga konstigheter. Jag trycker på skicka-knappen men får formuläret i retur:

1) Svaret på frågan ”Vad heter ditt favorithusdjur” måste vara på minst 6 tecken!

2) Svaret på frågorna: ”Vilken är plats är din favoritplats” och ”Var växte din pappa upp” får inte vara identiska!

Det blir en lite märkligt här, systemet har validerat mina svar och anser på något märkligt sätt att jag har svarat ”fel” på mina frågor där jag vet svaren. Jag tycker grundtanken är kanon dvs. jag får ett par frågor och kan resetta mitt lösenord men det blir en klar motsättning mot hur en del system hanterar mina svar. Får inte pappa ha växt upp i Tanumshede samtidigt som jag har det som favoritplats? Det blir till att fundera lite på en annan favoritplats eller omvärdera pappas uppväxtort…

Jag är fullt medveten om att säkerhetsaspekter är anledningen till dessa begränsningar men man har lite glömt att se över sammanhanget här och hur man som användare påverkas. Några konkreta lösningar (från ett tekniskt perspektiv) på det här problemet skulle kunna vara att:

  • Informera att man bör välja ett antal frågor som har olika svar av säkerhetsskäl.
  • Informera om att man bör välja frågor som innehåller svar om minst 6 tecken.
  • Ge möjligheten för användaren att själv välja frågor och informera om betydelsen att välja bra frågor med bra svar (vilket en del tillåter redan idag).

Den sistnämnda punkten är kanske den som ur säkerhetsperspektiv ses som mest problematisk då användare kan komma på för lätta frågor med för lätta svar. Å andra sidan har många lösningar idag identiska frågor vilket i sig torde vara ett säkerhetsproblem.

2 reaktioner på ”Mitt favorithusdjur har fel namn

  1. Jag anser att det är olyckligt att sådana frågor används som ett sätt att återställa lösenord. Varför gör man inte som de flesta webbplatser och skickar en hemlig länk till en mailadress? Följer man länken kan man välja ett nytt lösenord.

    Det är nämligen enkelt att göra ett skript som provar med hela ordlistan på sådana frågor. Ganska snabbt kommer man in och har tillgång till ditt konto — vilket du inte längre kommer ha efter att de bytt ditt lösenord.

    Problemet är ju att svaren på frågorna alltid är ord eller fraser som finns i ordlistan — aldrig slumpmässiga, starka lösenord.

  2. Det har du rätt i, men jag tror att de flesta har någon form av spärr för hur många försök man kan tänkas få att svara på sina frågor. Dessutom har jag sett det i lite olika kombinationer där man varit tvungen att svara på någon fråga innan mailet sänds iväg med lösenord. Det verkar också användas som en extra livlina när man helt enkelt inte längre har tillgång till mailkontot. I vilket fall som helst kanske det finns alternativa lösningar som fungerar bättre ur både användar- och säkerhetsperspektiv.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s