Oggi mi sono ritrovato a dire a un collega "L'email non è sicura, ecco perché abbiamo sviluppato la nostra applicazione di report sicura."
Ma poi mi ha colpito, perché l'e-mail è considerata insicura? Se è così insicuro, perché ci fidiamo di esso per il reset della password?
Non l'ho mai interrogato prima ...
Ci affidiamo all'e-mail per la reimpostazione della password perché non abbiamo niente di meglio . Non è davvero una questione di fiducia come in "abbiamo piena fiducia nell'e-mail"; è più come "eh, come se avessimo una scelta ...".
In particolare con il business basato sul Web con i consumatori: un consumatore è autenticato dal suo indirizzo IP dinamico (non può essere usato se non come parte di un'operazione di polizia con warrant per scoprire i registri ISP), possibili dettagli della carta di credito (idem), e qualunque cosa il cliente abbia accettato di dirci, che, nel migliore dei casi, è un indirizzo email valido. Quindi, email.
Come sai, un collegamento che apri nel tuo browser non viene trasferito a un endpoint. Quindi è aperto a molti attacchi. Tuttavia, questo è il motivo per cui sono stati creati altri metodi di verifica. Ad esempio, molti sistemi offrono metodi di autenticazione a fattore 2 o 3. Implica costi di implementazione / implementazione / manutenzione. Ma ci sono metodi collaborativi:
Gran parte del transito e-mail è ora sicuro. Esistono importanti provider di servizi di posta elettronica che non utilizzano TLS per impostazione predefinita? IIRC, Google non consente nemmeno l'accesso IMAP non crittografato a Gmail.
Recentemente ho reimpostato la mia password su Yahoo.com, e qui è l'intestazione in cui il messaggio è stato inviato dalla rete di Yahoo a Google:
Received: from n2.bullet.mail.ne1.yahoo.com (n2.bullet.mail.ne1.yahoo.com. [98.138.229.123])
by mx.google.com with ESMTPS id pp10si18879814igb.52.2013.01.23.13.07.56
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Questo ha usato la crittografia a 128 bit. Di seguito, il mittente è stato autenticato da DKIM. Gmail usa per impostazione predefinita HTTPS, quindi ogni punto in transito verso il mio browser, questa email è stata crittografata, il mittente è stato autenticato, ecc. Il messaggio presumibilmente è passato attraverso ulteriori controlli automatici per garantire che non si trattasse di un messaggio di phishing. Questo è in realtà un protocollo abbastanza sicuro per reimpostare una password, tutto sommato. L'e-mail non richiede richiede sicurezza, ma è un po 'obsoleto chiamarla intrinsecamente insicura.
Usiamo la posta elettronica come parte di un processo di reimpostazione della password perché in molti casi non esiste un'alternativa valida. Tuttavia, tutte le procedure di reimpostazione della password che utilizzano l'e-mail non sono uguali. Alcuni sono decisamente migliori di altri. Mentre le altre forme di comunicazione diventano più comuni, vedrai le procedure di reimpostazione della password muoversi verso l'uso di queste tecnologie più recenti in quanto sono più sicure (o sembrano essere più sicure) - per esempio, più dei sistemi che uso ora usano SMS piuttosto che email per il recupero della password.
Una parte del motivo per cui le reimpostazioni delle e-mail non sono sicure è perché le password in sé sono intrinsecamente insicure. Se si aumentano le password standard con qualcosa come l'autenticazione a 2 fattori, i rischi associati alle reimpostazioni di password basate su e-mail possono essere ridotti perché l'e-mail ha solo una parte delle informazioni richieste per accedere alla risorsa in questione.
L'altro aspetto da prendere in considerazione quando si valutano gli aspetti di sicurezza dell'email utilizzati nelle reimpostazioni della password è l'impatto rispetto alla praticità. Non mi importa se quel sito Web che utilizzo per tracciare la mia lista della spesa utilizza una procedura di reimpostazione della password basata su e-mail non sicura, ma mi dispiace se la mia banca lo fa (e sì, ho password diverse per ogni sito).
Naturalmente, esistono buoni e cattivi sistemi di reimpostazione della password basati su e-mail. Quelli che effettivamente ti inviano una nuova password sono meno sicuri di quelli che inviano un link di ripristino speciale. Quelli che hanno un link che è un solo uso e sono validi solo per un tempo limitato sono migliori di quelli che durano per sempre o possono essere utilizzati più volte. Quelli che sono casuali e non prevedibili sono migliori di quelli che possono essere derivati sulla base di alcune informazioni facilmente ottenute.
Ciò che dovrebbe accadere inizialmente è eseguire una valutazione del rischio di base: esaminare la probabilità che un meccanismo di reimpostazione della password venga compromesso e l'impatto che tale compromesso potrebbe avere. Se il risultato è accettabile, il processo è OK. In caso contrario, il processo deve essere modificato fino a quando non viene raggiunto un compromesso soddisfacente. Tuttavia, questi compromessi si rifletteranno probabilmente su livelli inferiori di praticità, quindi è necessario essere realistici nella valutazione del potenziale / probabilità del processo che viene sfruttato e dell'impatto di tale exploit. Sopra stima e si potrebbe finire con una soluzione troppo ingegnerizzata e scomoda. Sotto stima e il processo non sarà sufficientemente progettato per fornire una sicurezza sufficiente - sarà probabilmente molto conveniente e facile da usare, ma esporrà l'utente a troppi rischi.
In conclusione, l'e-mail non è sicura, ma se implementata correttamente, un processo di reimpostazione della password basato su e-mail potrebbe rappresentare un buon equilibrio tra abbastanza sicuro e conveniente. Se non ritieni che la funzione di reimpostazione della password basata su email di un servizio che utilizzi sia sufficiente, non utilizzare il servizio.