Contromisure per un attacco di un membro della famiglia su una procedura di reimpostazione della password

6

Data una procedura di resettaggio dell'account, di solito ci sono alcune domande di recupero, e in implementazioni migliori verrà inviato un link per confermare la modifica della password via email o SMS. Pertanto, l'utente malintenzionato ha bisogno sia di informazioni sia di accesso per utilizzare il meccanismo di reimpostazione della password per un rilevamento dell'account.

Questi controlli sono spesso molto utili contro alcuni attaccanti casuali su Internet, ma voglio concentrarmi su quando un membro della famiglia è l'attaccante (ad esempio, il genitore che cerca di entrare nell'account del bambino, il ragazzo / ragazza che cerca di ottenere l'accesso al partner account, ecc.). In questo scenario, è molto probabile che la persona conosca la risposta a qualsiasi domanda di sfida personale (nome da nubile della madre, prima auto, insegnante di terzo grado) ed è probabile che abbia anche accesso fisico al telefono o al PC della vittima. Supponiamo anche che la vittima non sia una persona orientata alla sicurezza, quindi lascia la sua e-mail aperta in una scheda e non ha una password per lo screensaver e il loro telefono è protetto da un pin che è il loro compleanno.

In qualità di addetto alla sicurezza, rimango sempre senza senso per le risposte alle domande di sicurezza e memorizzo le risposte con la crittografia, ma dal momento che la vittima non vuole realmente gestire un gestore di password, non sa quale sia la crittografia, ecc. non possiamo fare affidamento sull'utente che prende contromisure per proteggere se stesso poiché la vittima può legittimamente aver bisogno di usare queste risposte per recuperare il suo account.

Sapendo che esiste un problema di sicurezza fisica e che le informazioni non sono ben note, quali contromisure o controlli possono implementare il fornitore di servizi per proteggere l'utente da un utente malintenzionato che è un familiare / amico con accesso fisico.

Le risposte dovrebbero essere dal lato del fornitore di servizi, poiché l'obiettivo è proteggere un utente non sofisticato.

    
posta Eric G 15.04.2015 - 00:47
fonte

1 risposta

1

I due metodi principali che ho preso in considerazione per questo sono:

1. Domande definite dall'utente

La maggior parte delle domande predefinite che vedo sui siti sembrano essere uguali o molto simili, facilmente ricercabili attraverso i social media, ecc. In generale, penso che consentire agli utenti di scrivere le proprie domande di sicurezza sarebbe meglio con alcune indicazioni. ad es. "Sali due domande, crea loro cose che nessun altro saprebbe, nemmeno tua madre". Gli utenti potrebbero ancora finire con delle brutte domande, ma almeno una parte degli utenti sarà furba e offre un miglioramento generale della popolazione degli utenti

2. Verifica azione sito privato

Anche se molte attività su un sito web di social media possono essere pubbliche, anche su tali siti c'è spesso un'attività che un utente fa, che è privata o nota solo all'utente. Non c'è motivo per l'utente di condividere queste informazioni con nessuno ed è specifico del sito. Ad esempio, su un sito Web bancario è possibile chiedere loro di verificare l'importo pagato su una bolletta. Anche dando loro la scelta di tre valori e un "nessuno dei precedenti" fornisce un certo grado di protezione. Naturalmente, in quel caso particolare, la fattura potrebbe venire per posta o potrebbe essere una spesa condivisa. Una domanda potenzialmente migliore potrebbe essere "Chi era l'ultima persona a cui hai inviato un messaggio privato?" poiché questo è per definizione non pubblico, ma può essere immaginabile da un familiare che sa chi sono i tuoi migliori amici.

    
risposta data 15.04.2015 - 00:52
fonte

Leggi altre domande sui tag