Quanti accessi Stack Exchange devo avere?

Se qualcuno compromette il tuo account StackExchange, non può semplicemente scollegare tutte le opzioni di recupero? Supponendo che non possono, il modello è questo:

• Perdere uno degli account collegati a SE è un "compromesso".
• Se uno qualsiasi degli altri account collegati a SE non viene perso, puoi "recuperare".

Su questo modello, 2 sembra ragionevole dalla tua analisi:

• 0 non va bene, non è possibile accedere a SE affatto; -)
• 1 non va bene, hai no possibilità di recupero dopo un compromesso.
• 2 è il numero minimo di account con possibilità di ripristino diverse da zero. A patto che perdere uno non comprometta l'altro , in effetti ti dà una buona possibilità di recupero, dal momento che perdere account è raro e perdere due in rapida successione è molto raro.
• Gli account aggiuntivi aumentano la possibilità di compromessi e le ulteriori possibilità di recupero devono diminuire rapidamente perché la possibilità di recupero è già buona.

Come ho detto, tuttavia, non sono sicuro del modello. Non ho mai provato a scollegare qualcosa dal mio account SE.

Il fornito è abbastanza grande. Se il tuo account Gmail è anche l'opzione di recupero per il tuo Facebook, perdere il tuo account Gmail significa che hai una buona possibilità di perdere anche Facebook. Quindi l'aggiunta di Facebook a StackExchange avrebbe un effetto meno drammatico sulle tue possibilità di recupero dopo un compromesso via Gmail.

Aggiungere login significa aggiungere metodi alternativi per accedere al tuo account; vedi questa pagina per i dettagli.

Pertanto, accessi aggiuntivi non possono ridurre il rischio di dirottamento nemico; infatti, possono solo aumentare il rischio poiché forniscono percorsi di ingresso aggiuntivi per l'aggressore. Se hai diversi accessi, il tuo "livello di sicurezza", formalmente, non è più di quello fornito dal più debole dei sistemi di autenticazione coinvolti.

Gli accessi aggiuntivi sono pensati per evitare di essere bloccati se un fornitore di autenticazione fallisce (ad es. cessa di operare). Questo può essere visto come extra "sicurezza", non contro gli attaccanti, ma contro i disastri.

In poche parole, accessi aggiuntivi avrebbero 2 effetti:

• Aumenta il rischio di attacchi e compromissione dell'account

ma d'altra parte,

• Riduce l'impatto di un attacco riuscito limitando il perimetro dei dati accessibili.

Quindi spetta a te decidere in base al rischio che accetti e al saldo che desideri in termini di usabilità rispetto alla sicurezza.

Prima di affrontare "l'hacker che accede al mio account Stack Exchange" utilizzando l'autenticazione di terze parti, non dovresti affrontare la sicurezza del tuo fornitore OpenID / OAuth di terze parti? Registrati per l'autenticazione a due fattori.

Il mio consiglio è:

1, basato sul sistema di login di Stack Exchange. Non c'è assolutamente nessuna buona ragione per reticolare i sistemi.

o

1, basato su un hub di identità condivisa affidabile, se si sta già utilizzando un hub diverso dal proprio sistema Stack Exchange. Supponendo che tu abbia trovato un sistema single-sign-on di cui ti fidi. Non ne ho ancora visto uno sulla rete pubblica che considero utile usare.

Il problema serio non è tanto perdere l'accesso all'identità dello Stack Exchange (se ciò accade, ricominciare con un nuovo nome utente e devi lavorare un po 'con SE per chiudere il vecchio ID e ripulire eventuali post offensivi che sono state fatte a tuo nome se qualcun altro ha avuto accesso ad esso, che è una seccatura nel peggiore dei casi), in quanto qualcuno che irrompe in SE potrebbe essere in grado di accedere ai tuoi account altrove.