Motivi per inserire un limite di tempo per l'immissione delle credenziali di accesso?

46

Un servizio che uso ha un limite di tempo (apparentemente abbastanza breve - forse 10-20 secondi) nell'inserimento delle credenziali nella pagina web di accesso. Il tentativo di accedere dopo questo periodo dà il seguente messaggio:

[Permotividisicurezza,gliutentidevonoimmetterelepropriecredenzialientroundeterminatoperiodo.Questoperiodoèstatosuperato.Vorremmochiedertidiaccederedinuovo.]

Lapaginasiaggiornaepossoaccederesenzaproblemi.

Qualiproblemidisicurezzapotrebberoessererisoltidaquestoserviziorichiedendoilloginentroun"determinato periodo"?

    
posta BlueCompute 19.06.2017 - 14:15
fonte

5 risposte

43

Questa sembra una soluzione orientata alla gestione delle sessioni di back-end.

Sto speculando sugli utenti anonimi che non avviano alcun tipo di sessione, ma una sessione viene istanziata una volta che si preme la pagina di accesso. Quando si accede, viene annotato nella sessione e si arriva a utilizzare il loro sito e servizi. Se non accedi entro un certo periodo, vanno avanti e terminano la sessione.

Dato il mercato in cui operano (sicurezza), potrei vederli essere un obiettivo per DDoSing tramite il consumo di risorse, quindi questa sarebbe più una soluzione di gestione delle risorse di qualsiasi altra cosa (impedisce al numero di sessioni aperte di superare una certa soglia) .

Quindi è la sicurezza per la loro infrastruttura, non qualsiasi tipo di sicurezza per il tuo account.

    
risposta data 19.06.2017 - 17:29
fonte
16

Potrebbe essere che abbiano emesso un token di verifica di sorta sul modulo che effettuano i postback sul server come parte del login, che scade dopo un certo periodo di tempo. Non dicendo se è una buona soluzione o no, solo che potrebbe essere la ragione.

OWASP ha queste informazioni: link

    
risposta data 19.06.2017 - 17:38
fonte
5

Sì, il timeout di accesso è una mitigazione contro il seguente attacco noto come attacco di fissazione della sessione :

  1. L'utente malintenzionato ha il suo account PandaCloud contenente una serie di file falsi.

  2. L'utente malintenzionato accede a un computer pubblico, ad es. in una biblioteca, un'università o un coffee shop, e firma.

  3. Cattivo fa una copia dei suoi cookie di sessione.

  4. L'utente malintenzionato torna alla pagina di accesso PandaCloud ma non accede.

  5. La pagina di PandaCloud, quando si carica, rilascia tutti i cookie per ripristinare il browser in uno stato di pulizia.

  6. L'utente malintenzionato sostituisce i suoi cookie nell'archivio dei cookie del browser.

  7. L'utente malintenzionato lascia la scrivania e va in un angolo per guardare.

  8. L'utente ingenuo arriva e firma. Lo script che cancella i cookie esistenti è già stato eseguito nel passaggio 5 e non viene eseguito nuovamente, pertanto i cookie dell'utente malintenzionato vengono inviati a PandaCloud.

  9. L'utente ingenuo pensa di accedere al proprio account, ma accede effettivamente all'utente malintenzionato.

  10. L'utente ingenuo carica file riservati, quindi si disconnette.

  11. L'utente malintenzionato accede e scarica i file riservati.

Lo scopo del limite di tempo è ridurre l'esposizione che si verifica tra i passaggi 5 e 8. Se è abbastanza breve, è più o meno impossibile rimuovere questo attacco.

Ci sono modi molto migliori per affrontarlo, però, come usare più di un cookie e memorizzare parte del lato del server di informazioni utente. Forse questi altri metodi erano impossibili a causa di altri vincoli tecnici.

    
risposta data 20.06.2017 - 02:16
fonte
3

Considerate le informazioni su cui dobbiamo basarci, mi piacciono molte delle speculazioni già fornite. Alcuni meglio di altri. Quindi, date tutte le speculazioni a cui sembra di avere diritto, permettetemi di presentare un altro caso davvero davvero limite:

Protezione dell'utente facilmente distratto

I tipi di utente nelle credenziali ma devono ancora premere il pulsante di invio. Diventa distratto, chiamato via, decide di iniziare a sfogliare una pagina diversa a causa di una notifica sui social media o qualsiasi altra cosa. Fondamentalmente hanno riempito tutte le loro credenziali ma non hanno presentato.

Poi lasciano la loro macchina: macchina pubblica, biblioteca, computer portatile in un coffee shop durante una pausa bagno (ehi, ho visto persone lasciare le loro macchine mentre entravano in un minimarket ... può succedere!)

Il potenziale aggressore può accedere alla macchina e inviare il modulo, ma con il breve timeout, la sua sessione sarà scaduta. Ovviamente, invece di inviare, ci sono probabilmente modi più interessanti per recuperare una password da un campo ****** in modo che possa essere correttamente riutilizzata per l'accesso. Ma questo è un altro problema di sicurezza.

    
risposta data 20.06.2017 - 14:33
fonte
2

Il seguente potrebbe essere un motivo:

1) Fornisci nome utente e credenziali e qualcosa ti fa lasciare il computer prima di premere il pulsante di invio

2) Un utente malintenzionato accede al tuo computer e fa clic sul pulsante di invio. Infine, l'utente malintenzionato può utilizzare le tue applicazioni.

Ad esempio, il fornitore Keycloak OpenIDConnect limita il tempo di processo di accesso.

    
risposta data 19.06.2017 - 14:23
fonte

Leggi altre domande sui tag