存储密码的答案是否比存储密码更安全？

Question

阅读目前最近关于如何/是否向用户发送密码的问题的最佳答案,我很感兴趣,最受欢迎的答案说如下......

1. 以可检索的方式存储密码是不安全的
2. 在秘密问题的帮助下使用重置功能是一种有效的替代方案

(这两点似乎是矛盾的.)

我使用散列密码来保证安全性,但我一直认为密码问答方案的安全性更低,因为它们实际上给出了答案可能是什么的提示.(我经常使用.NET的默认会员提供商.)

有什么我想念的东西,因为我没有费心去使用问答吗？秘密问题和答案,没有包含任何类型的定时电子邮件重置功能,比在数据库中存储密码更安全吗？

---

跟进: Microsoft的会员提供商使用相同的格式存储秘密问题的答案,就像他们对密码一样.如果为密码指定哈希值,则它将以相同的方式存储密码答案.

从下面的帖子中可以看出,如果使用秘密问题/答案机制,除了电子邮件重置方案之外,应该只使用,而不是代替,也应该进行哈希处理.当然,对于像我这样在秘密答案部分放置长随机字符串的人来说,这可能会出现问题.

Answer 1

密码是 "秘密"问题的答案.那个问题是,"你的密码是什么？".

正如Scunliffe指出的那样,添加额外的用户输入字段可能会也可能不会增加密码的安全性 - 这取决于用户的做法.

Answer 2

在许多已发表的"电子邮件黑客"(例子)中已经利用了问答习惯- 我肯定会避免使用它.

Answer 3

我允许自己在这里受到OWASP的指导:

由于以下原因,它们是不可接受的:

• 未经明确同意(例如"母亲的婚前姓名")收集有关人员的信息在大多数隐私制度中都是非法的.此类收集受隐私法律的约束,受试者的审查和更正等.

• IT安全策略和标准(如ISO 27000)禁止明文密码存储,但几乎所有问答方案都明确存储问题和答案

• 答案中的信息对于互联网的大部分用户是公开的,因此可以使用公共资源找到

编辑(2018年):OWASP似乎重新安排了他们的材料.该返回机器捕获了原始页面的副本.

Answer 4

秘密问题和答案仅与用户所做的一样安全.如果有人对您有所了解,他们可以回答一个简单的问题并重置您的密码.我猜测答案也是哈希,所以答案不是直接存储的.但同样,知道问题的答案就是一切.

存储的散列密码与大多数应用程序一样安全,这很好,因为它是单向的,因此纯文本永远不会被存储也无法被检索.