[WebGoat] Password reset - 3

 

information + Assignment

보안 질문은 처음에는 인증을 수행하는 좋은 방법처럼 보이지만 몇 가지 큰 문제가 있습니다.
"완벽한" 보안 질문은 풀기 어려워도 기억하기 쉬워야 합니다. 또한 답변은 수정되어야 하므로 변경될 수 없습니다.
이러한 기준을 충족하는 질문은 소수에 불과하며 누구에게나 적용되는 질문은 거의 없습니다.
보안 질문을 선택해야 하는 경우에는 솔직하게 대답하지 않는 것이 좋습니다.
이 문제에 대해 더 자세히 설명하기 위해 작은 과제가 있습니다. 아래에는 몇 가지 일반적인 보안 질문 목록이 있습니다. 하나를 선택하면 선택한 질문이 실제로 생각만큼 좋지 않은 이유가 표시됩니다.
두 가지 질문을 검토하면 과제가 완료로 표시됩니다.

---

SNS가 보안 질문에 취약점이 될 수 있습니다.
SNS로 클라이언트의 많은 정보들을 획득할 수 있으니까!!

보안 질문은 공격자가 추측하기 어려워야합니다 ->  클라이언트가 기억하고 있기가 힘듭니다.

그래서 클라이언트가 기억하기 쉬우면서 추측하기 어려워야합니다.

 

다르게 말하면 클라이언트가 굳이 진실된 답변을 하지 않아도 됩니다.