Modalità di attacco alla password bombardata a tempo

4

Sono uno dei co-fondatori di plaintextoffenders.com . Recentemente abbiamo ricevuto una richiesta per cui non sono sicuro se ci sia un mezzo di attacco o meno. Il sito in questione è un hosting / VPS / etc. società.

Quando qualcuno fa clic su Password dimenticata, viene inviata un'email all'indirizzo dell'utente. Specifica un indirizzo di reset della password (buono) che è limitato nel tempo a 15 minuti (eccellente) ma contiene anche la password temporanea dell'utente per quei 15 minuti (eh?).

Anche se questo non indica chiaramente che stiano memorizzando le password in testo normale, mi ha fatto pensare se l'invio della password temporanea, insieme al link di ripristino limitato nel tempo, avesse implicazioni sulla sicurezza.

Aggiornamento : dopo aver letto attentamente le risposte e aver letto attentamente il testo dell'e-mail, ho scoperto che la password fornita non è la password temporanea post-ripristino, ma la password che verrà utilizzata permanentemente dopo aver fatto clic sul link di ripristino. Questo si adatta al nostro mandato e il post sarà pubblicato. Grazie a tutti per le vostre risposte!

    
posta Omer van Kloeten 02.08.2013 - 14:50
fonte

5 risposte

5

Un "indirizzo di reimpostazione della password" è una password temporanea - e una che può essere sfruttata in una password permanente. Una "password" è un'informazione che un utente può presentare per ottenere l'accesso. L '"indirizzo di reimpostazione password" si adatta a tale definizione.

Quindi direi che il particolare ponte di "password via email" è già stato superato. Il rischio intrinseco di tale invio è mitigato rendendo l'applicabilità dell'indirizzo limitata nel tempo, proprio come la "password temporanea".

Si potrebbe sostenere che la "password temporanea" è un po 'più rischiosa nel senso seguente: se un utente malintenzionato intercetta l'e-mail, può utilizzare sia l'indirizzo di reimpostazione della password che la password temporanea, ma utilizzando la password temporanea lascia meno tracce, mentre in realtà la reimpostazione della password sarà facilmente individuata dal legittimo proprietario, a causa del fatto che non potrà più collegarsi. La differenza è leggera, però. Direi che la funzione "password temporanea" è abbastanza inutile ma non significativamente più rischiosa rispetto all'indirizzo di reimpostazione della password.

(Suppongo che la "password temporanea" sia per le persone che hanno bisogno di accedere veloce ma non vogliono rompere la loro, ingombrante, lenta politica di rinnovo della password. Un caso limite per aiutare le persone che capita di scavare la propria tomba.)

    
risposta data 02.08.2013 - 15:32
fonte
3

Il mio istinto è che probabilmente c'è poco o nessun rischio; supponendo che l'applicazione verifichi correttamente che la particolare password sia valida solo per 15 minuti.

Poiché la maggior parte dei tentativi di hacking non è mirata, è molto improbabile che, se la password cade in qualche modo nelle mani di un utente malintenzionato, sarà in grado di sfruttarla nella piccolissima finestra di opportunità .

Tuttavia, non c'è ancora un punto nell'invio della password insieme a un URL di reimpostazione della password. È ancora meglio rimuoverlo.

Tutto si riduce al profilo del sito web. Se si tratta di un'applicazione web bancaria o altamente confidenziale, non farlo. Potrebbero esserci aggressori che pianificano attacchi mirati contro i tuoi utenti. Per la maggior parte delle applicazioni Web, tuttavia, non vedo molti rischi.

    
risposta data 02.08.2013 - 14:55
fonte
1

Il vantaggio principale che ho potuto vedere qui è che (tipo di) aiuta a prevenire gli attacchi sui link di ripristino. Se viene utilizzato un token di collegamento breve, in teoria qualcuno potrebbe continuare a indovinare i collegamenti.

Rompendo in più parti che richiedono un nome utente, la password inviata via e-mail e il collegamento inviato via e-mail è più sicuro di un semplice collegamento della stessa lunghezza poiché protegge ulteriormente contro le persone che cercano solo di indovinare la password reimpostare i collegamenti, ma è possibile ottenere la stessa sicurezza semplicemente utilizzando un token più lungo nel link di reimpostazione della password. Potrebbe esserci qualche limitazione tecnica al sistema che impedisce comunque un token più lungo. O hai bisogno di nome utente + reimpostazione del link token + password temporanea o hai bisogno di nome utente + token link di reset più lungo. La somma totale di entropia è tutto ciò che conta dal momento che la perdita di posta elettronica è ugualmente problematica per entrambi.

    
risposta data 02.08.2013 - 15:40
fonte
1

Per, quindi, chiarire, richiedere un reset PW da questo sito immediatamente fare così (quindi una password temporanea, il link di reset dovrebbe bypassare le credenziali di accesso perché questo è il punto ) ma poi ha un link di reset limitato nel tempo che permetterà loro di specificarne uno nuovo?

Quindi cosa succede se scadono il link e la password time-bombed? L'account utente è bloccato fino a quando l'utente non risponde a una successiva e-mail di ripristino in tempo? Potrei vedere che è un campo da gioco per uno script kiddie che si alimenta nel numero di indirizzi e-mail che riesce a trovare (e per i siti che soddisfano i clienti aziendali, utilizzando gli add-on della e-mail aziendale del modulo [email protected] , tutto ciò di cui avresti bisogno è il dominio di posta elettronica e l'elenco telefonico di un'azienda per chiudere l'accesso di un'intera azienda a questo sito di terze parti).

Ovviamente, il sistema di reimpostazione della password tramite e-mail fornisce un'autenticazione a due fattori che di solito è una buona cosa. Il fatto che la password temporanea sia trasmessa in un testo più o meno semplice è preoccupante, ma il tuo vettore di attacco in quel caso è qualcuno che annusa il traffico di rete del server di posta, che è un paio di livelli di sofisticazione al di sopra dello script kiddie o spambot.

L'intero schema, ovviamente, è debole nei confronti di un utente malintenzionato che può violare la password dell'account e-mail; se ha ottenuto l'accesso all'account GMail che hai usato per registrarti al sito, può reimpostare entrambe le password e tu sei SOL, ma è vero per qualsiasi schema di reinvio tramite e-mail, ed è ancora meglio che usare "segreti" disponibili pubblicamente "come il nome da nubile di tua madre, la tua scuola superiore o altre domande di sicurezza facili da ricercare.

    
risposta data 02.08.2013 - 18:00
fonte
0

La debolezza che vedo è che esiste un potenziale per sconfiggere l'obiettivo del sistema se la vecchia password dell'utente non viene bloccata.

Se invii un'email a qualcuno che consente loro di reimpostare la password senza conoscere quella corrente (il tipico caso "dimenticato la password"), chiunque abbia compromesso l'account di posta elettronica può assumere il controllo del sistema protetto da password. Questa è una parte naturale del compromesso fornito dai sistemi "ha dimenticato la password".

Tuttavia, una cosa importante di questo processo è che, anche se l'utente malintenzionato ha il sistema di posta elettronica compromesso, non può attaccare il sistema protetto da password e lasciare inosservato. Hanno sempre dovuto cambiare la password, che è una piccola ma rilevabile quantità di cambiamento.

Se il sistema consente di utilizzare la password temporanea, ma dopo 15 minuti ritorna alla password originale, il sistema risulta meno potente. Ora l'utente malintenzionato può utilizzare la password temporanea per 15 minuti, eliminare l'e-mail e la vittima non ne ha più. Tuttavia, se il sistema disabilita immediatamente la password originale quando si invia il messaggio "ha dimenticato la password", è sicuro. Allo stesso modo, è anche sicuro che quella password temporanea possa essere utilizzata solo per cambiare la password, non per accedere al sito.

    
risposta data 18.02.2014 - 02:26
fonte

Leggi altre domande sui tag