L'IT fornirà solo la password tramite telefono, ma è davvero più sicura della posta elettronica?

87

Ogni anno si verifica un reset automatico della password su un account VPN che uso per connettermi ai server dell'istituzione. Gli account / password VPN sono gestiti dal dipartimento IT dell'istituzione, quindi devo inviare una e-mail ogni anno per seguire il controller dell'account per ottenere la nuova password. Questo termina sempre con una telefonata , perché la loro politica è quella di non inviare password tramite email.

Ho una vaga comprensione del perché l'invio di password tramite e-mail sia sbagliato, ma onestamente non capisco perché dire a qualcuno una password su un telefono sarebbe meglio. Supponendo che abbia una probabilità dello 0% di modificare la sua politica (non ho davvero alcuna possibilità), perché dire a qualcuno che una password tramite una telefonata è più sicura della posta elettronica?

Sono principalmente focalizzato sulla possibilità che il telefono / email sia intercettato da una terza parte , ma @Andrew ha sollevato un buon punto sulla permanenza della posta elettronica.

Ci sono alcune ottime informazioni in questo Q / A , ma quella domanda riguarda la più sicuro per inviare le informazioni di accesso, mentre sto specificatamente chiedendo informazioni sulla sicurezza della telefonata e della posta elettronica.

    
posta Chris Cirefice 16.08.2018 - 19:39
fonte

12 risposte

119

Le e-mail vengono salvate da qualche parte, sia su un server di posta che sul personal computer di qualcuno. Le telefonate di solito non lo sono, a meno che non si tratti di un ambiente rivolto al cliente.

    
risposta data 16.08.2018 - 19:42
fonte
57

Questa politica è comune dove i nomi utente e le password vengono inviati tramite canali separati.

Non importa su quali canali basta che le coppie di autenticazione siano divise e inviate tramite metodi diversi.

Questa è la best practice accettata perché l'intercettazione dei due canali di destra è molto più difficile rispetto a guardare un canale in cui la coppia di autenticazione può semplicemente passare.

Il motivo dietro questo è che le modifiche alle password non sono solo quando si dimentica una password, ma quando si sospetta che un account sia stato compromesso. Per questo motivo le modifiche alle password vengono eseguite "fuori banda" per garantire che gli aggiornamenti delle password non siano facilmente acquisiti.

Nel mondo della sicurezza IT a volte non si tratta di essere perfettamente sicuro. È accettabile essere abbastanza duro da permettere agli aggressori di provare altrove.

    
risposta data 17.08.2018 - 10:11
fonte
55

Le e-mail possono (anche se @Luc sottolinea, non sempre) essere inviate in chiaro su Internet. Ciò significa che possono essere registrati dal tuo provider di posta elettronica, dal tuo ISP, dal tuo ISP del destinatario, dal tuo provider di posta elettronica del destinatario o da una qualsiasi delle apparecchiature di rete intermedie. In quanto mittente, non hai alcun controllo su chi guarda oltre le spalle della persona mentre apre l'email.

Con una telefonata, hai più controllo sulla verifica che stai parlando con la persona giusta, possono rifiutarsi di rispondere se sono in un luogo pubblico, ecc. Inoltre, mentre non ci sono garanzie che non sia registrato, almeno c'è una buona possibilità - a differenza dell'email che ha il 100% di possibilità di essere in qualche database da qualche parte.

    
risposta data 16.08.2018 - 19:49
fonte
32

Anche se vengono registrate sia le conversazioni via e-mail sia quelle telefoniche, è più facile per gli ordini di grandezza cercare un database e-mail per "password" piuttosto che cercare le registrazioni vocali.

Tuttavia, le migliori pratiche dicono che una, e solo una persona dovrebbe conoscere la password per un account, e quella è la persona che possiede l'account. L'amministratore non dovrebbe saperlo, né il server (cioè la password hash).

Il solito modo per farlo sarebbe: se la password è scaduta (per un determinato valore di recente), l'utente può usare la sua vecchia password, ma immediatamente dopo essere stati autenticati (prima di accedere), sono costretti a cambia la loro password, quindi immediatamente disconnesso. Se la password è scaduta da tempo, l'amministratore può contrassegnare la password scaduta come "scaduta di recente" per un breve periodo di tempo (ad esempio 10 minuti). L'amministratore non ha bisogno di sapere quale sia questa password. Se l'utente ha dimenticato la propria password, l'amministratore può emettere una breve password (ad esempio 10 minuti) che impone anche l'immediata modifica della password.

Inoltre, se un utente ha cambiato la propria password nell'ultimo anno, dovrebbe essere esentato dalla modifica (fino a esattamente 1 anno dopo la sua ultima modifica).

La teoria che una password debba essere cambiata una volta all'anno è anche estremamente discutibile, nella maggior parte dei casi - se una password è compromessa, di solito viene sfruttata al massimo immediatamente. Solo dare un accesso "solo" a 6 mesi di accesso (in media) sembra abbastanza inutile (o "solo" 6 giorni per quella materia). Ciò suggerisce l'autenticazione a 2 fattori, con il secondo fattore che è unico ogni volta (Google Authenticator, OTP, OPIE, challenge-response ecc.), Se la risorsa merita di essere protetta.

Un amministratore non dovrebbe conoscere la password di un utente, se può essere evitato. Se necessario, dovrebbero avere la possibilità di diventare un altro utente con la propria password PROPRIA, che viene quindi scritta in un registro di controllo. Questo è particolarmente importante se ci sono diversi livelli di "amministratore" (cioè se ci sono persone che possono cambiare le password, ma non influenzano il registro di controllo).

Le piccole offuscamenti (come la sicurezza di audio, immagini, ecc.) sono pericolose, perché favoriscono l'autocompiacimento senza sicurezza.

    
risposta data 17.08.2018 - 09:24
fonte
12

In un sistema sicuro, le password fornite dall'IT dovrebbero essere solo temporanee, solo per un periodo di tempo, stringhe casuali, quindi l'utente deve immediatamente inserirle e modificarle con la propria nuova password segreta. L'IT non dovrebbe mai sapere o trasmettere la password "reale" dell'utente.

Gli utenti devono essere controllati prima del reset e questo è molto più semplice da fare con la chiamata vocale, fare una domanda, ottenere una risposta, fare.

Anche se la temp. la password viene ascoltata per una chiamata, non ci sarà tempo per l'utilizzo. Le e-mail, tuttavia, a volte vengono trascurate per un po 'di tempo prima di essere lette, dando a un aggressore la possibilità di fare il peggio.

Inoltre, è possibile utilizzare una chiamata vocale registrata per identificare se un utente è stato impersonato in seguito, mentre non è possibile stabilire chi ha guardato uno schermo di posta elettronica aperto o un server di posta elettronica remoto.

I miei 10 anni di esperienza sono in un ambiente finanziario, quindi questo livello di sicurezza potrebbe non essere economicamente giustificato se le esigenze di sicurezza sono meno rigorose. Pagare per gli enti IT è costoso e la maggior parte dei sistemi / app sta andando alla sicurezza basata sul Web, quindi i giorni di ripristino della password IT tramite voce sono numerati in ogni caso.

    
risposta data 18.08.2018 - 09:44
fonte
8

La sicurezza di un'e-mail è difficile da stabilire. L'e-mail è molto probabilmente conservata negli archivi (ci sono persino alcuni regolamenti per alcune aziende). Quindi inviare una password in una e-mail è una cattiva idea da quel punto di vista. Potrebbe anche accadere un'intercettazione di email.

Il telefono, d'altra parte, ha meno probabilità di essere registrato, ma potrebbe esistere intercettazione o registrazione del telefono. Quindi non è una grande idea. Ho letto un commento sul fatto che la linea di terra è più difficile da toccare rispetto ai sistemi informatici - non sarei d'accordo. Toccare una linea telefonica tradizionale è molto più semplice che hackerare un server remoto. I telefoni VOIP richiedono una nuova tecnica, ma non così difficile: basta collegare un hub, connettere il PC a una porta dell'hub, e ora si dispone di una copia di tutti i pacchetti, e il software di decodifica VOIP abbonda. Probabilmente è più difficile intercettare un segnale del cellulare, ma non lo so, non l'ho fatto.

Un vantaggio (forse percepito) dell'uso del telefono tramite l'e-mail è la garanzia che si sta fornendo la password alla persona a cui si desidera assegnare la password. Essendo io stesso un amministratore di sistema, che deve reimpostare le password, questo è qualcosa che posso attestare. Se si invia una e-mail, non si sa davvero chi è dall'altra parte. Potrebbe essere un'e-mail falsificata, un account dirottato, ecc. Se conosci la persona, puoi riconoscere la voce della persona. Puoi fare alcune domande per verificarne l'autenticità (puoi farlo anche via email, ma c'è una sensazione di sicurezza quando lo fai al telefono).

Ora, avere un amministratore che imposta una password e che rimane la password e non lasciare che l'utente imposti la propria password è davvero una pratica sbagliata secondo me, a causa di questi fattori, ora la password deve essere trasmessa e tutto ciò che viene trasmesso sta andando essere la password per sempre dopo.

    
risposta data 16.08.2018 - 23:27
fonte
3

C'è dell'altro nella politica? In molte organizzazioni, daranno una nuova password al telefono, ma devono conoscere la voce delle persone e rispondere a una domanda (chi è il tuo capo, quando è stata la tua ultima recensione).

È in qualche modo simile a un processo di autenticazione a più fattori.

    
risposta data 16.08.2018 - 20:08
fonte
2

La logica che utilizzo quando insisto sull'uso del telefono o del testo per inviare la password è il fatto che si tratta di un secondo canale.

Anche con tutte le insicurezze sopra riportate delle e-mail, se l'e-mail è stata inviata con solo la password in essa contenuta, non ci sono abbastanza informazioni per uso dannoso. Tuttavia, se intercetti un'email che ha un significato simile a "La tua password per l'account xxx in servizio yyy è stata cambiata in zzz", hai tutto il necessario per accedere all'account.

    
risposta data 16.08.2018 - 23:52
fonte
1

Al momento, è molto più facile intercettare un'email. Questo può cambiare in futuro, ma per ora:

  • Le email sono progettate per essere archiviate per periodi di tempo arbitrariamente lunghi. Ci si può aspettare che almeno uno, se non diversi server, abbia salvato tutti i dati.
  • Le email sono più facili da elaborare. Identificare le e-mail contenenti password è relativamente facile. Identificarli nelle telefonate è più difficile. Se un avversario sta ascoltando, ovviamente sarà banale catturare la password. Tuttavia, l'ascolto richiede più risorse.
    • Ad un certo punto, l'intelligenza artificiale renderà questo molto più semplice. Ma non sembra essere il caso al momento.

Dipende davvero dal tuo modello di minaccia. Quanto è preziosa questa password? Assumerei che le credenziali bancarie di un miliardario sarebbero tutelate meglio di questo, o informazioni classificate, ma più piccola è, più le risorse investite nell'ottenere le informazioni cominciano a contare.

    
risposta data 20.08.2018 - 03:55
fonte
1

Il problema principale di una telefonata è che le telefonate sono ancora suscettibili a social engineering attacchi , in cui un chiamante può persuade un individuo fidato per dare loro l'accesso

On the phone, I selected an automated menu to “get help with logging in to my account”. The customer service rep, Christine, was very friendly and asked me for my email and home address in order to work with me to get access to my account.

I think we found our problem… Christine only needed these two pieces of information to get me into my account? No password? No mobile phone? No other piece of information? What’s keeping someone from finding my email and home address from a database and calling to take over my account?

Quindi nessuno può annusare la tua email (potenzialmente non criptata), ma tutto ciò di cui ho bisogno è il loro numero di telefono e un po 'di informazioni su di te e potrei fare questo

Hello, this is Chris Cirefice. I've lost my VPN login again. I coulda swore I wrote it down, can you give me a new one? Wow, that would be great, let me get a pen and paper...

    
risposta data 21.08.2018 - 17:17
fonte
0

Ci sono molte buone risposte sul motivo per cui l'invio di Password = -valore- in una email è sbagliato.

MA

Nessuno menziona che se la password è abbastanza semplice da essere facilmente comunicata con la voce, probabilmente non è abbastanza complessa per essere efficace e la parte ricevente probabilmente scriverà su un pezzo di carta ...

Related XKCD # 936: password complessa breve, o passphrase del dizionario lungo?

    
risposta data 17.08.2018 - 19:29
fonte
-4

Le e-mail in genere non vengono salvate, tuttavia i segnali wireless possono essere violati, così come le reti fisse di intercettazione. il modo migliore per farlo è con un sito Web https.

    
risposta data 19.08.2018 - 23:12
fonte

Leggi altre domande sui tag