Password inviata tramite email al momento della registrazione

Le password sono un interessante problema di sicurezza. Sono i più usati, ma sembrano essere molto diversi nella loro implementazione di sicurezza o talvolta poco capiti.

Generalmente, una password è valida tanto quanto l'utente che la maneggia. Il tuo post sembrerebbe concentrarsi su questo tema. Tuttavia, le password sono anche solo come il sistema che le gestisce. La migliore password al mondo non può essere protetta se è archiviata o inviata in chiaro. Come nella tua domanda, inviando la password via e-mail, ha effettivamente reso lo schema inutile. Non importa se la password è di 12 caratteri casuali.

Le password devono anche superare la linea tra sicurezza e usabilità. Le password brevi costituite da un numero limitato di caratteri sono più facili da ricordare. Gli utenti tendono a utilizzare una o due password per tutte le loro attività basate sul Web. Le password più lunghe o quelle con requisiti di classe di caratteri più complessi sono più difficili da ricordare. Le persone tendono a dimenticare queste password più spesso e, se sono costrette a utilizzare le regole di complessità draconiane, le annotano spesso. Ora, come Bruce Schneier , credo anche che tu possa scrivere le tue password - finché il luogo in cui lo scrivi è sicuro. Ma non c'è assolutamente consenso su questo punto.

Rimozione dell'opportunità per un utente di cambiare la password significa che un utente non è in una posizione facile per essere in grado di revocare o proteggere le proprie credenziali (ad esempio se un account e-mail è violato, o per garantire il sito di destinazione e il loro il personale non ha accesso). Questo può anche essere un'esperienza di sicurezza frustrante per le persone attente alla sicurezza che capiscono che la manutenzione della password è un processo dinamico.

Ci sono numerose domande relative alla password su questo sito. Per favore, passa attraverso di loro. Alcuni di interesse riguardano i vari punti della tua email:

• Se un sito Web consente a un'altra persona di ottenere un elenco delle password degli utenti del sito, quanto è probabile che le password siano archiviate in chiaro? : password memorizzate in chiaro sul server
• Ho sbagliato a credere che le password non dovrebbero mai essere recuperabili (hash unidirezionale)? : password inviate via email
• Password dimenticata o link di ripristino, che è più sicuro per le email? : link per la reimpostazione della password e invio via e-mail della password
• XKCD # 936: password complessa breve o passphrase lunga del dizionario? : discussione sulla complessità della password

In primo luogo, è generalmente una cattiva idea inviare password permanenti per cose sicure via e-mail, in particolare le password generate dall'utente (che l'utente può condividere con altre risorse). L'e-mail viene spesso salvata automaticamente su disco se si utilizza un client di posta elettronica, che può essere letto facilmente da chiunque abbia accesso fisico al computer se non si crittografa il disco rigido o si lascia il disco rigido crittografato sbloccato. Inoltre, non ci sono generalmente garanzie nella posta elettronica che un intercettatore non stia leggendo i tuoi messaggi di posta elettronica, ad esempio, se controlli la posta via POP / IMAP senza SSL o qualcuno sta eseguendo la scansione della tua posta sul lato server, o mentre l'email è instradata tra posta server. È possibile che una password generata da un computer venga archiviata con la tua e-mail potrebbe non essere un compromesso, specialmente se il sistema consente a qualcuno che ha accesso alla tua e-mail di reimpostare la password. (E se il sito utilizza i cookie per archiviare le informazioni di accesso, è possibile leggere i cookie dall'hard disk con la stessa facilità con cui si legge l'e-mail dall'hard disk).

È bello che il processo sopra descritto verifichi che l'indirizzo email sia (inizialmente) leggibile dall'utente che effettua la registrazione. Ciò può anche essere fatto richiedendo a un utente registrato di fare clic su un collegamento con un token casuale. Concessi servizi di posta elettronica temporanei come 10minutemail.com possono aggirare questo problema, un utente potrebbe essere meno incline a mentire poiché vorrebbe avere la password nei loro registri.

Un'altra cosa bella è che imposta una password complessa per impostazione predefinita. Molte persone non cambieranno i valori predefiniti o se cambiano la password, useranno una password altrettanto strong. Prendi in considerazione la donazione di organi con paesi di opt-in / opt-out dei paesi. Il 99% degli austriaci sono donatori di organi in quanto il default è di essere un donatore (opt-out) e il 12% dei tedeschi è donatore di organi, in quanto il default è di non essere un donatore (opt-in) . Questo aspetto della psicologia è probabilmente più di un fattore nella scelta del default per altre funzionalità di sicurezza come "questo è un computer pubblico (non ricordo il mio login)", ma per gli utenti che già salvano le password nel loro browser questo non è particolarmente diverso .

La funzionalità di modifica della password può idealmente tentare di verificare che la nuova password sia sufficientemente potente. Ad esempio, non è simile alle password in un elenco di password comuni, non è una parola del dizionario o una parola del dizionario seguita da un numero di 1 o 2 cifre o un segno di punteggiatura. Questo potrebbe essere molto fastidioso e richiede un uso intensivo della CPU per consentire a tutti gli utenti registrati di generare una password sicura, ma probabilmente meno intensiva se il controllo viene eseguito solo sulla pagina di modifica della password (supponendo che alcuni utenti frustrati abbandonino). Inoltre, è meglio averli frustrati nel cambiare la password una volta che hanno già un account funzionante rispetto a prima che ne abbiano uno.

Pro

• assicurati che le password di non-techies siano almeno conformi alle best practice (poiché probabilmente non lo cambieranno e lo salveranno solo nel loro browser)

CONS

• la password viene inviata in chiaro su un'email non crittografata, con evidenti problemi di sicurezza

Escluderei qualsiasi problema HTTPS, poiché sarei molto più preoccupato per la mancanza di SSL / TLS durante l'autenticazione che durante la registrazione. Inoltre, un sito Web che non utilizza HTTPS per il processo di registrazione difficilmente lo fornirà per l'autenticazione.

Non penso che ci siano altre ragioni oltre ai pro elencati sopra. Per determinare se questa è una buona idea o no, dovremmo probabilmente confrontare i rischi di ottenere credenziali rubate in e-mail di testo chiaro contro i rischi di ottenere password facili indovinate / forzate. Dato che non ho dati relativi a questi problemi, mi asterrò dal giudicare questa decisione.

Hai due domande qui e non sono sicuro se stai chiedendo se è un'idea migliore generare password per gli utenti e lasciare che scelgano da soli o se è meglio inviare le password via e-mail agli utenti piuttosto che mostrarli sulla pagina web.

Per inviarli via e-mail e mostrarli, menziona che alcuni siti potrebbero non utilizzare ssl. Tuttavia, le e-mail vengono spesso trasmesse e archiviate in modo non criptato, quindi non è molto meglio. Inoltre, i client di posta elettronica come Gmail manterranno le tue email per sempre così tanti account Gmail sono un tesoro di password inviate per email. Dico che se non lo spediresti su una cartolina, non dovresti inviarlo via email.

Per quanto riguarda la generazione di password e la selezione da parte degli utenti, una buona tecnica consiste nel dire agli utenti che l'unica regola è che la loro password sia lunga almeno 12 caratteri, altrimenti può contenere tutto ciò che vogliono. Questo requisito elimina quasi tutte le parole del dizionario e richiede agli utenti di aggiungere elementi casuali a una parola per soddisfare i requisiti minimi. Inoltre, gli utenti non devono leggere un elenco di regole di forza della password confuse, ma devono avere una lunghezza di 12 caratteri.

Inviare via e-mail all'utente una password casuale conferma di possedere l'indirizzo e-mail e semplifica enormemente la codifica richiesta per questa convalida e-mail. Non preoccuparti di quali azioni l'utente può o non può eseguire fino alla convalida perché semplicemente non possono accedere. Non c'è bisogno di opzioni per inviare nuovamente l'e-mail di convalida o per tenere traccia dello stato di convalida di ogni account, ecc.
Anche se capisco perché esiste la convalida della posta elettronica, è ancora un po 'un dolore. Avere una password iniziale inviata via e-mail lo fa sembrare meno di un passo in più. Il rovescio della medaglia, sono sempre cauto nell'usare un sito che considera l'e-mail una password come buona pratica.

Se mai avessi creato un sistema di registrazione che inviava via e-mail una password iniziale, allora insisterei con l'utente per cambiarlo al primo accesso. La password è stata inviata per e-mail, potrebbe anche essere stata scritta su una cartolina, indirizzata al tuo nome utente e inserita nella libreria locale!

Suggerirei che la password sia impostata dall'utente dopo aver seguito un link di conferma. La conferma viene inviata via email all'utente. Tuttavia, questo non è molto diverso da quello già suggerito chiedendo all'utente di cambiare la password dopo il primo accesso.

L'applicazione di password complesse è sempre stato un problema, suggerisco sempre agli utenti di registrare le proprie credenziali di accesso in una password sicura sul loro computer, che è crittografata sull'unità locale ma ha accesso biometrico o accesso con password singola. Ma io sono un uomo e posso coprire solo una piccolissima parte della popolazione:).

Penso che dipenda dalla natura / confidenzialmente dei dati dietro la password e da quanta quantità di controllo debba essere in atto per soddisfare gli utenti.

TJ.