API per cambiare le password?

5

Dopo aver appreso la scorsa settimana che i dati di accesso di alcuni dei miei account sono trapelati , ho dovuto cambiare le mie password per più di 30 siti. E 'stato noioso! Per fortuna, alcuni giorni dopo abbiamo appreso di Heartbleed. Oh bene, ora dovrò fare tutto questo di nuovo (e per ancora più siti ora).

Poi ho letto la domanda su SU: Qual è un modo efficace per modificare le mie oltre 200 password dell'account?

Mi chiedo: Può esistere un modo sicuro per consentire agli utenti di modificare "automagicamente" le loro password per servizi diversi? (presupponendo un sito "tradizionale" che salva nome utente e password, quindi nessun OpenID o alternative)

Sarebbe una buona idea per i siti offrire qualche tipo di API per cambiare la password ? Se tale API fosse standardizzata, gli utenti che utilizzano un gestore di password potrebbero selezionare tutti i siti per i quali desiderano una nuova password e il gestore di password potrebbe impostare una nuova password creata casualmente per ciascuno di questi siti.

    
posta unor 11.04.2014 - 20:03
fonte

1 risposta

3

Hai appena risposto alla tua domanda.

Può esistere un modo sicuro per consentire agli utenti di modificare "automagicamente" le proprie password per servizi diversi? Sì ...

Un'API aperta standard per consentire a un utente di cambiare la password di un sito Web è possibile e dico che è un'idea decente.

Inoltre, è possibile utilizzare un'API aperta standard per consentire a un utente di accedere a un sito Web e io dico che è una buona idea. Ma, incredibilmente, il processo di login al sito web sta diventando meno, non più standardizzato; questa funzione di base di un gestore di password è sempre più difficile, non più semplice.

Considerazioni sulla sicurezza: Bene, rende più facile per un utente malintenzionato causare un sacco di problemi cambiando molte delle password di un utente contemporaneamente. Reimpostare le password richiederà più tempo che mai. Tuttavia, è raro che utenti malintenzionati cambino molte delle password di un utente, anche quando ne hanno l'abilità.

Il modificatore di password potrebbe avere anche i suoi difetti di sicurezza, ad esempio potrebbe scegliere password insufficientemente casuali e le implementazioni dell'API potrebbero avere problemi di sicurezza.

D'altra parte, è relativamente comune che le password vengano compromesse in modi che potrebbero essere migliorati da modifiche più frequenti della password.

Quindi direi (con un minimo di dubbio) che il lato negativo non è probabilmente superiore al rialzo.

Penso che un'idea migliore sarebbe quella di standardizzare ed evangelizzare un'API libera e aperta basata sul SRP (Secure Remote Password) , o qualcosa del genere. Con SRP un intercettatore o un uomo nel mezzo non può fare molte ipotesi di forza bruta, quindi si può ottenere una sicurezza così strong usando password relativamente brevi / semplici. Inoltre il server non memorizza dati equivalenti a password. Ciò significa che un utente malintenzionato che ruba i dati del server non può essere mascherato come client. E se non sbaglio, significa che c'è meno di un problema quando gli utenti usano la stessa password con più siti web.

UPDATE : nel frattempo, c'è Funzione Cambio password automatica LastPass .

    
risposta data 17.04.2014 - 04:21
fonte

Leggi altre domande sui tag