Zakelijke persoonlijke vragen

Door Rukapul op woensdag 10 november 2010 23:36 - Reacties (7)
Categorie: -, Views: 4.445

Onlangs kwam ik in aanraking met A-OK van Arcot wat o.a. gebruikt kan worden om in te loggen op een bedrijfsnetwerk als alternatief van bijvoorbeeld een Secure-ID tokens. A-OK werkt op basis van persoonlijke vragen zoals wat is je naam van je eerste liefde? En je teddybeer?

Aangezien deze authenticatie typisch puur zakelijk is rijst de vraag waarom je als werknemer de antwoorden op dit soort persoonlijke vragen met je werkgever of IT dienstverlener zou willen delen? Niet echt gepast in elk geval.

Zou voor zakelijke toepassingen de authenticatie niet zou moeten werken op basis van kennis van zakelijke informatie? In elk geval is er dan geen conflict op het vlak van ethiek of persoonsgegevens. De creatieve geesten van Arcot & co. kunnen vast een paar mooie vragen verzinnen ;)

Voor de concrete uitvoering hoop ik overigens dat de antwoorden niet als zodanig opgeslagen worden. Het gegeven dat interpunctie etc. precies moet overeenkomen geeft hoop, maar die hoop wordt weer teniet gedaan door de privacy policy die de antwoorden op de vragen in het geheel niet noemt in het kader van persoonsgegevens.

Ik heb in elk geval wat nonsens antwoorden ingevuld en samen met de vragen in m'n password manager opgeslagen. Tijd voor een vleugje meer ethiek bij security?

http://kosteronline.net/pics/zakelijkepersoonlijkevragen.png

Volgende: Wachtwoord-op-monitor in ziekenhuis 09-'11 Wachtwoord-op-monitor in ziekenhuis
Volgende: Duurzaam internetbankieren en de mens in informatiebeveiliging 09-'10 Duurzaam internetbankieren en de mens in informatiebeveiliging

Reacties


Door Tweakers user chime, donderdag 11 november 2010 01:18

Bon, als ik die vragen zo zie dan vrees dat de antwoorden verkocht gaan worden.

Kans is groot dat het zonder jou naam is, maar dan nog ...

Door Tweakers user Yippie, donderdag 11 november 2010 01:25

Het voordeel van persoonlijke vragen is natuurlijk wel dat de "gebruiker" deze makkelijker lijkt te onthouden. Ik vind deze vragen inderdaad wel vreemd. Onlangs op werk een mooie webtool geimplementeerd gekregen, wat naar mijn mening ideaal is:
stel zelf de vragen en antwoorden op zonder enige criteria ( leestekens,hoofdletters, taal etc). Resultaat, mensen die niet meer weten wat ze hebben ingevuld... 8)7
Dan zijn van te voren bepaalde vragen wellicht toch beter, alleen als het een 3rd party betreft zou ik het persoonlijk niet gebruiken. Zeker niet als het gratis is, wat schieten zij er anders mee op.

Door Tweakers user ScytheNL, donderdag 11 november 2010 08:38

Mwah ik zie hier nooit zo het probleem van in.
Antwoord 1: None of your business.
Antwoord 2: Not your business...
3: None of your g.damn business!?
4: *sigh* business, not yours?
5: You'll never learn will you...

Allemaal verschillende antwoorden, genoeg interpunctie en afwisseling van taal vorm. Knappe kop die die antwoorden op de letter af weet te raden dan.
Et voila, geen persoonlijke antwoorden en toch voldaan aan de specificaties van de security tool. Natuurlijk kun je de antwoorden ook gewoon complete jibberisch maken. Het is aan jou of je echt antwoord geeft op de vragen of dat je voldoet aan wat er gevraagd wordt, maar meer ook niet.

Door Tweakers user natasdiamon, donderdag 11 november 2010 08:59

Ja, zo heb ik bij die vragen ook altijd 1 antwoord, iets in de strekking van: 'Weet ik niet.' dat is best ideaal, een 2e wachtwoord :P

Door Tweakers user YopY, donderdag 11 november 2010 09:02

Het leuke van dit soort 'beveiliging' is dat de antwoorden die je hierop geeft vaak eenvoudiger zijn qua complexiteit dan een wachtwoord - vaak als je iemand hoort van 'jank mijn MSN is gehackt!1' blijkt dat het via zo'n soort vraag gedaan is.

Het is vaak zowel minder complex qua antwoord (zo van 'wat is de naam van je hond' -> 'max'), en in veel gevallen ook te achterhalen (wat is de meisjesnaam van je moeder -> even zoeken op hyves). Zelfde met 'wat is je favoriete X'.

Als bedrijf zijnde zou ik me drie keer achter de oren krabben voordat ik mensen toegang geef via zo'n systeem. Als systeembeheer zijnde kun je beter wachtwoorden genereren (12 karakters, letters, cijfers en tekens) en opsturen via een ander kanaal dan e-mail, en dit wachtwoord om de zoveel tijd wijzigen - of op z'n minst complexiteitsregels toepassen.

Door Tweakers user Rukapul, donderdag 11 november 2010 09:22

natasdiamon schreef op donderdag 11 november 2010 @ 08:59:
Ja, zo heb ik bij die vragen ook altijd 1 antwoord, iets in de strekking van: 'Weet ik niet.' dat is best ideaal, een 2e wachtwoord :P
Bij wachtwoord retrieval zaken vul ik een random string in. Echter, in dit geval zijn de persoonlijke vragen onderdeel van het reguliere authenticatieproces. Je moet dus op z'n minst bijhouden wat je invult (afaik zijn dubbele antwoorden ook niet toegestaan).
YopY schreef op donderdag 11 november 2010 @ 09:02:
Het leuke van dit soort 'beveiliging' is dat de antwoorden die je hierop geeft vaak eenvoudiger zijn qua complexiteit dan een wachtwoord
Correct. Dat komt veelal al voort uit het idee erachter en wordt vaak nog verwerkt doordat gebruikers niet voldoende kennis (kunnen) hebben om het veilig te gebruiken.

Er is afgelopen jaar een paper verschenen waarbij men bij diverse sociale netwerken statistieken heeft bepaald voor het raden van antwoorden en de resultaten waren schokkend. In de tussentijd lijkt echter niemand in de sector ook maar iets geleerd te hebben.

M.i. hoort het overgrote deel van de persoonlijk vragen verbannen te worden. Het is bad practice die op de een af andere manier good practice lijkt te zijn geworden. Misschien komt er ooit nog wel ergens een artikel met als titel "secret questions considered harmful" :P

Door Tweakers user jcvjcvjcvjcv, dinsdag 6 september 2011 02:37

Je hoeft niet naar waarheid te antwoorden....
Het kan zelfs heel goed zijn dat niet te doen. Je moet dan alleen die antwoorden niet vergeten :p. Wellicht een briefje in de kluis?

Reageren is niet meer mogelijk