Quando ottengo le credenziali per una nuova macchina, la mia azienda invierà spesso l'ID di accesso in e-mail, quindi SMS (o talvolta Skype msg) la password. Questo è ovviamente al fine di separare il login e la password in canali separati in base al presupposto che sarebbe molto improbabile che un intercettatore li annusasse entrambi.
Questa è una pratica di sicurezza standard o qualcosa che hanno appena inventato?
è abbastanza normale separare il nome utente e la password in più istanze o (meglio) più forme di comunicazione. Alcuni inviano due email separate (lol), alcune inviano un'email e una telefonata per la password, troverai tutti i metodi per separarle. Ma un paio di cose dovrebbero essere tenute a mente.
1) qualsiasi password scritta ovunque o inviata tramite qualsiasi metodo in chiaro dovrebbe essere ritenuta compromessa. 2) puoi aiutare a mitigare il numero 1 inviando una password temporanea, richiedendo all'utente di cambiarla al primo accesso, altrimenti con scadenza entro 24 ore o tale
mentre seguivo il buon senso mentre trasmettevo le password, penso che l'utente finale sia il punto più alto di rischio, non l'atto di ottenerle.
FWIW, ho visto più di una società telefonica che scrive sms sul conto ... almeno Skype dovrebbe essere una connessione SSL.
Sì, è una pratica standard per il motivo base che hai descritto. Tuttavia, se il nome utente viene inviato tramite e-mail e la password tramite skype o qualche altro messenger, tutto ciò che l'utente malintenzionato deve fare è ascoltare sulla porta di rete la connessione al server di posta e al servizio di messaggistica.
Quindi si verificano dei problemi anche se la password viene salvata da qualche parte nella cache o l'utente non cancella il messaggio SMS. Non è un grosso problema se si tratta di una sola password.
Separare i canali di comunicazione è una buona idea, ma usare SMS per la password, non così tanto. Preferisco inviare il nome utente tramite SMS e la password tramite e-mail crittografata.
Non è davvero una buona idea scrivere le password a lungo termine, perché non sai quale operatore trasporterà il tuo testo e come. Questa domanda StackExchange spiega lo standard procedura per la crittografia SMS, ma è necessario ricordare che l'intera infrastruttura non è nelle tue mani; è meglio avere la tua crittografia.
Ogni volta che invii una credenziale che deve durare nel tempo, devi farlo con crittografia end-to-end . Dopo tutto, potresti non essere di fronte al tuo PC quando ricevi la password, e se è intercettata qualcuno potrebbe essere in grado di accedere prima di farlo e impostare un'altra password.
Devi solo inviare password una tantum e solo quando sei sicuro che il dispositivo che stai inviarlo a è nelle mani del destinatario. È una cattiva idea bloccare qualcuno da un account solo perché il suo telefono è stato rubato, soprattutto perché metà degli utenti di smartphone non protegge il proprio dispositivo nemmeno con un PIN o un gesto.
Quindi, il testo delle password è buono come uno tra più forme di Autenticazione a 2 fattori con password monouso (idealmente, fornire un'alternativa per le persone con telefoni rubati), ma non per l'invio di password perse o collegamenti per la reimpostazione della password.