1. Dom
  2. Pytanie i odpowiedź
  3. Bezpieczny sposób na pobieranie/resetowanie hasła?

Bezpieczny sposób na pobieranie/resetowanie hasła?

2010-08-20 21 views
5

Zanim zacznę, mój powód, dla którego nie używam OAuth, uważam, że nie jest to coś, co powinniśmy używać w tym projekcie, ale kierujemy się na platformę, która zostanie spakowana i odsprzedana firmom, które łączą się z własnym zestawem korzysta z tego, że naprawdę nie chcemy mieć kont, nad którymi nie mamy 100% kontroli, nie chcemy, aby był to wspólny login z innymi usługami i nie chcemy zmuszać ludzi do zdobywania google/yahoo/openID/aol/facebook/blogger/wordpress/jakiekolwiek konto.Bezpieczny sposób na pobieranie/resetowanie hasła?

Teraz to, co chciałbym, to najlepszy sposób, aby umożliwić użytkownikom ponowne ustawienie hasła.

Nienawidzę pojęcia tajnych pytań: Jakiej szkoły nie masz? Cóż, sprawdzimy twoją stronę na Facebooku. Jaki był twój nauczyciel pierwszej klasy? Po prostu zapytajmy ich od niechcenia.

Nienawidzę używać jednorazowych haseł przez e-mail: Od kiedy poczta e-mail jest bezpieczna? Twój szef to czyta. Wysyłam do mnie wiadomości spamowe każdego dnia. Poszedł do twojego kosza na śmieci. Nie jest wysyłany w postaci zaszyfrowanej.

Nie chcę też używać hasła do resetowania hasła. To po prostu nie ma sensu.

Naprawdę nie mam pomysłów na najlepszy sposób, aby to zrobić, więc sądzę, że zapytam społeczność.

Źródło

2010-08-20 Incognito

Odpowiedz

9

Twój problem polega na tym, że musisz zlecić na zewnątrz zaufanie. Jeśli użytkownik zapomni hasła, nie będziesz już musiał ufać im, więc musisz użyć zewnętrznego źródła, aby ponownie nawiązać związek.

Jeśli uważasz, że wiadomość e-mail nie jest zabezpieczona (tak naprawdę jest), możesz wypróbować telefon. Daj im połączenie z tymczasowym hasłem. Lub faks. Poczta ślimakowa, SMS itp.

Jest to tak bezpieczne, jak linie telefoniczne/pocztowe, nad którymi przemieszcza się reset, aw większości obszarów przechwytywanie telefonu lub manipulowanie pocztą jest surowo karane przez prawo.

Jeśli to nie pomoże, rozważ wydanie użytkownikom tokena OTP, karty inteligentnej lub czegoś podobnego.

Źródło

2010-08-20 15:11:52 Borealid

+0

Telefonicznie jest również rozsądną metodą - musisz odebrać od nich numer telefonu, kiedy po raz pierwszy rejestrujesz użytkownika lub masz zaufany sposób, aby go wyszukać, kiedy go potrzebujesz. – Von

+0

Warto zauważyć, że organizacja, w której pierwszy raz jestem wdrożony, utrzymuje około 7000 kont użytkowników, co prawdopodobnie jest nieco wyższe niż średnia mediana dla innych organizacji. – Incognito

+0

@ user257493: Jeśli mają tak wielu użytkowników, mają personel pomocniczy. Jeśli użytkownicy znajdują się w firmie, bezpośrednia weryfikacja tożsamości może być realną opcją. – Borealid

4

Jeśli nie można zweryfikować osoby osobiście, wymieniłem wszystkie rozsądne opcje, które widziałem. Moim zdaniem jednorazowe hasło za pośrednictwem poczty e-mail jest lepszym rozwiązaniem, ponieważ ludzie zazwyczaj chcą zachować prywatność swoich wiadomości e-mail. Osobiście nienawidzę tajnych pytań - zbyt dużych szans na publiczne odpowiedzi (zobacz incydent z pocztą Sarah Palin). Jeśli masz zamiar zadawać tajne pytania, pozwól przynajmniej użytkownikowi wybrać własne pytania.

Źródło

2010-08-20 15:11:49 Von

+0

Oto mój drugi problem z tajnymi pytaniami. Zawsze wprowadzam coś innego (jak moja pięść na klawiaturze kilka razy), ponieważ nie podoba mi się pomysł prostego tylnego wejścia do mojego konta – Incognito

+0

Zawsze generuję czysto losowe odpowiedzi na tajne pytania (w ten sam sposób generuję hasła frazowe tak właściwie). – Von

+1

Punkt tajnych pytań wydaje się być pominięty przez osoby je wdrażające. Pytania muszą być bardziej osobiste i nie są znane publicznie. Na przykład. Kto był twoim pierwszym zauroczeniem? Jaki jest Twój rozmiar buta? Jaki był Twój pierwszy samochód? –

1

Umożliwia użytkownikom wybranie tajnego obrazu (lub obrazów). Lub zmusić użytkownika do przesłania własnego obrazu.

Działa to lepiej niż tajne pytania. Sekretne pytania mają dwa wspólne problemy:

  1. użytkownik daje odpowiedź, którą łatwo uzyskać od innych.
  2. użytkownik wie o pierwszym problemie, a zamiast odpowiedzi odpowiedź daje odpowiedź losowo, później zapominając, co to było.

Wybierając użytkownika, aby wybrać tajne obrazy lub lepiej, ale załaduj własne obrazy.Użytkownik będzie łatwiej odzyskać go później, gdy odzyska hasło, ponieważ łatwiej jest tworzyć powiązania wizualne.

Podczas odzyskiwania hasła użytkownik ma kilka możliwości wyboru odpowiedniego obrazu.

Źródło

2010-08-27 16:00:17

+0

To ogromna niedogodność i podatne na niektóre z tych samych problemów, co tajne pytania. – Incognito

1

Więc rzeczywiście chce użytkownik, aby udowodnić, że jest to, kto twierdzi, że jest, bez ujawniania informacji o sobie (zakładając, że można uzyskać jakiekolwiek informacje z hakerstwa społecznej)

Istnieją 3 sposoby uwierzytelniania: Coś ty są (biometrics), coś, co masz (np. dongle) i coś, co znasz (hasło, odpowiedź ...). Uwierzytelnianie 2 lub 3-drogowe jest dużo bezpieczniejsze niż jednokierunkowe.

Resetowanie/odzyskiwanie hasła z definicji zmniejsza bezpieczeństwo procedury uwierzytelniania, ponieważ teraz nie jest A, ale (A lub B). (A = hasło, B = odzyskiwanie hasła)

Dlatego, nawet jeśli twoja procedura uwierzytelniania jest jednokierunkowa (hasło), twoje procesy odzyskiwania powinny być uwierzytelnianiem dwukierunkowym.

Zobaczmy, jakie są opcje dla procesu odzyskiwania hasła:

  1. Coś jesteś (SysAdmin które rozpoznają cię - zwykle nie jest dobre dla 5000 pracowników organizacji Voice-print - zbyt drogie do wdrożenia, .. .)
  2. Coś masz (konto e-mail, numer telefonu, ...)
  3. Coś wiesz (dane osobowe)

Zauważ, że korporacyjnych ID tag obrazu jest Uwierzytelnianie dwukierunkowe (zarówno coś, czym jesteś, jak i coś, co masz).

Uważam, że najlepszą procedurą jest, aby pracownik fizycznie udał się do działu IT, pokazał swój identyfikator obrazu i poprosił o zresetowanie hasła.

Jeśli jest to niewykonalne (zbyt daleko - na przykład oddział zdalny), spróbuj użyć rozpoznanego przez ciebie asystenta, któremu można zaufać przez telefon, więc pracownik będzie musiał pokazać identyfikator identyfikatorowi lokalnemu użytkownikowi .

Jeśli nie możesz użyć "Coś, czym jesteś" - masz coś, co masz (e-mail, numer telefonu, własny komputer) i coś, co znasz (dane osobowe ...). Nie możesz tego uciec.

Źródło

2010-08-29 07:58:06

+0

Nie ma hakowania społecznego, użytkownicy przekazują mi informacje o miejscu zamieszkania, dokumentach podróży i innych rzeczach, tylko po to, aby korzystać z systemu. – Incognito

+0

"Jaki był twój nauczyciel pierwszego stopnia? Po prostu zapytaj ich od niechcenia" - To jest społeczny hacking. –

+0

Ah źle zrozumiałem. Pomyślałem, że chodzi ci o to, w jaki sposób Facebook rysuje połączenia między produktami, które mogą Ci się spodobać na podstawie innych rzeczy, lub uruchamia oprogramowanie do rozpoznawania twarzy. Mam dostęp do wielu poufnych danych, które złodzieje ID by pokochali, ale nie jestem pewien, czy chcę to wykorzystać jako weryfikację/sekrety. – Incognito

2

Myślę, że wymaga to trudnej implementacji, ale alternatywnym rozwiązaniem może być wysłanie nowego hasła do telefonu komórkowego użytkownika jako wiadomości tekstowej. Telefony komórkowe są o wiele bezpieczniejsze niż osobiste skrzynki odbiorcze.

Następnie użytkownicy proszeni są o wpisanie swoich numerów telefonów komórkowych. Użytkownicy, którzy nie chcą tej funkcji, otrzymają nowe hasła pocztą e-mail.

Źródło

2010-08-30 13:43:59 Zafer

Powiązane problemy

 Powiązane problemy