Perché il mio fornitore ha reimpostato la mia password dopo che qualcuno ha tentato di accedere al mio account?

36

Recentemente un fornitore (di servizi di trunking SIP) mi abbono per inviarmi una strana email. Ha affermato che qualcuno in un altro Paese ha tentato di reimpostare la password sul mio account e non ha avuto successo nel rispondere alla mia domanda di sicurezza.

La risposta del fornitore a questo evento è stata la reimpostazione della mia password.

Dear Customer,

We received a request to reset the password for the account ‘myusername’ from the IP address 41.174.96.79 but the security question entered was invalid.

As a security precaution we have set your accounts password to: roRy1391

Once you have logged in you will be prompted to change your password immediately.

(L'email si è rivelata reale e sono riuscito ad accedere e modificare la password con successo.)

Mi sembra che la risposta appropriata a un tale evento è che il provider non faccia nulla. Dopo tutto, cosa succederebbe se questo aggressore avesse già avuto accesso al mio account di posta elettronica? Quindi avrebbe ricevuto questa e-mail e comunque ottenuto l'accesso al mio account.

Tuttavia, esiste un possibile fattore di attenuazione. Questo provider richiede sempre di rispondere alla domanda di sicurezza ogni volta che si accede da un nuovo indirizzo IP. Questo, in teoria, avrebbe anche bloccato questo attacco se l'aggressore avesse avuto accesso a questa email di reimpostazione della password.

Questa è stata un'azione appropriata da parte del fornitore? Altrimenti, cosa avrebbero dovuto fare invece, e cosa dovrei dire quando li urlo?

    
posta Michael Hampton 31.07.2013 - 20:01
fonte

4 risposte

55

Questa è una violazione assoluta della sicurezza. Anche se la loro politica fosse in qualche modo valida, l'invio della password in plaintext in una e-mail significa che il reset è inutile e, come hai detto tu, se l'utente malintenzionato ha avuto accesso alla tua e-mail le domande di sicurezza non sarebbero state t fare lo squat.

Non avrebbero dovuto fare nulla in quanto la domanda di sicurezza risposta non era valida. La cosa migliore da fare, IMHO, è fare un ulteriore passo avanti e impedire all'utente di rispondere alle domande per un periodo definito. Notificarti è un passo corretto, ma cambiare la password lo rende inutile.

Vorrei fare loro una semplice domanda: "se hai intenzione di mandarmi (o qualcuno che finge di essere me con accesso alla mia email) una password se io / qualcun altro indovina la domanda di sicurezza sbagliata, qual è il punto? di domande di sicurezza? "

    
risposta data 31.07.2013 - 20:05
fonte
17

No, non è una risposta appropriata da parte dell'ISP. L'utente malintenzionato ha provato a reimpostare la password, il che dimostra che l'autore dell'attacco non conosce la password corrente e in realtà non tenta nemmeno di indovinarlo. Forzare un reset di quella password non può portare nulla di buono: prova a correggere esattamente la parte del sistema di autenticazione che non è stata interrotta.

Se reimpostare la password non servirà a nulla, può comunque causare molti danni. Le password come testo semplice nelle e-mail raramente sono una buona idea.

Questa situazione sembra un buon esempio di "posizione di sicurezza impulsiva": in caso di dubbio, panico.

(Il tuo ISP ha davvero scelto una password che inizia con "Rory"? Questo fa scattare il mio senso del "gioco di pazzi".)

    
risposta data 31.07.2013 - 21:35
fonte
5

L'unico caso in cui riesco a pensare a dove cambiare la tua password in quel modo avrebbe senso per la sicurezza è se l'utente ha effettuato l'accesso al tuo account quando hanno provato a cambiare la tua password.

In questo caso, la tua password precedente era potenzialmente compromessa, perché chiunque fosse loggato conosceva quella password ma non la risposta alla domanda di sicurezza.

    
risposta data 01.08.2013 - 00:12
fonte
2

Questa non è una buona pratica. Sarei un po 'sospettoso che il provider SIP fosse stato effettivamente compromesso, ma volevo salvare la faccia o ridurre il potenziale per una pubblicità nitida essendo forse meno chiaro / onesto o un po' ambiguo. Fondamentalmente, cambiare la password dopo un tentativo FALLITO non ha assolutamente senso. L'invio di una nuova password via e-mail rende ancora meno. Tutto ciò si aggiungerebbe alla ricerca di un nuovo rpvider SIP se fossi io.

    
risposta data 03.08.2013 - 01:58
fonte

Leggi altre domande sui tag