Стоит ли делать смену контрольного вопроса посредством ввода ответа на тот же вопрос?

Question

[lexstile]

Вопрос такой, выскажитесь, пожалуйста, кто, что думает по этому поводу.
Стоит ли делать смену контрольного вопроса посредством ввода ответа на тот же контрольный вопрос? (ограничив, например, до 3-х попыток ввода)

Работаем с внешним сервисом, там смена номера телефона и личных данных только по контрольному вопросу.

Answer 1

[Дядька Серёжа]

Уже отвечал:
OWASP говорят все же должна быть двухфакторная аутентификация, а не попытка ввода ответа до усеру:
Updating Answers.
When the user updates the answers to their security questions, this should be treated as a sensitive operation within the application. As such, the user should be required to re-authenticate themselves by entering their password (or ideally using MFA), in order to prevent an attacker updating the questions if they gain temporary access to the user's account.
PS
Почитайте статью и комментарии.

Comments

[lexstile]

Пожалуй, можно добавить смену по email, как думаете? (Но тогда не совсем понятно, что делать, если пользователь потеряет доступ к email с учетом того, что смс мы пока не можем отправлять)
С смс на телефон мы пока заблокированы.

[Дядька Серёжа]

lexstile, если заблокировали, шлите через агрегатора, делов то. Я не знаю можно ли вам делать смену через отправку ссылки или otp на почту. Вам нужно оценить уровень потерь ваших клиентов, если говорим про персданные по 152-ФЗ вы обязаны провести оценку вреда субъекту персданных в случае несанкционированного доступа. Если говорим про сервис в котором есть кошелёк или карта привязаны, то естественно нет, но опять же мое субъективное мнение пальцем вверх. Ну и да, обычно фишат пароль к почте, потом смотрят по письмам в почте к каким сервисам она принадлежит, гораздо проще сделать фишинговые страницы условно 10ти почтовых провайдеров мира и пробовать ломануть почту миллиардов людей чем искать мелкие компании и проводить на них целевой фишинг.