ระบบอนุญาตให้ตั้งคำตอบของคำถามลับซ้ำกันได้
Vulnerability Assessment
อธิบาย (Description)
ในหน้าลงทะเบียนของระบบ (Registration page) มีการให้ผู้ใช้งานตั้งคำถามลับสำหรับการปลดการล็อครหัสผ่าน (Reset password) หรือสำหรับผู้ลืมรหัสผ่าน (Forgot password) โดยคำถามลับนั้นสามารถระบุได้ตั้งแต่สองคำถามขึ้นไป อย่างไรก็ตามทั้ง 2 คำตอบลับนั้น ระบบอนุญาตให้ตั้งได้เหมือนกันได้ แม้ว่าจะมีคำถามลับที่แตกต่างกัน
ปัจจัยที่จะทำให้ประสบความสำเร็จ (Successful factors)
- คำถามลับและคำตอบลับง่ายต่อการคาดเดา
- ไม่มีการป้องกันการโจมตีโดยเครื่องมืออัตโนมัติ (Automated tools)
วิธีแก้ไข (Solution)
คำตอบลับจะต้องแตกต่างกันในแต่ละคำถาม