link per reimpostare la password di texting al posto di un codice

Naviga le tue risposte
5

Un processo sempre più comune per l'assistenza con il ripristino della password è l'applicazione che invia un codice / token al telefono verificato dall'utente.

Abbiamo un cliente che vorrebbe eliminare la necessità per l'utente di ricordare il codice e invece di inviare un collegamento bit via SMS dove il codice / token è incorporato nel collegamento bit. In questo modo l'utente può semplicemente toccare il collegamento nel messaggio SMS, che avvierà il browser mobile e potrà procedere con la reimpostazione della password, eventualmente con un'ulteriore verifica con domanda di sicurezza o altro punto dati PII.

C'è una ragione per cui il processo sopra descritto non viene utilizzato da persone come Facebook e Google e invece continuano a inviare il codice tramite SMS? Sembra, almeno in superficie, solo aggiungere una inutile fase di memorizzazione affinché l'utente finale possa trasferire il codice da SMS a browser mobile.

    
posta Fred 21.04.2016 - 18:16
fonte

1 risposta

3

Posso pensare a un paio di difetti con quel piano:

  • Non funziona per gli utenti che utilizzano un dispositivo diverso per eseguire la reimpostazione della password per qualche motivo, ad esempio non utilizzando uno smartphone. Per Facebook e Google, non è raro che gli utenti cambino le loro password utilizzando un computer, ma per ricevere un codice di convalida tramite dispositivo mobile.
  • Aumenta potenzialmente il rischio di attacchi di phishing, incoraggiando gli utenti a seguire URL abbreviati che affermano di provenire da un fornitore di servizi. L'uso di bitly aggiunge a questo, dal momento che non è facile vedere l'URL a cui il link va effettivamente.

Per un'applicazione mobile, tuttavia, è una premessa errata, dato che in questo caso gli SMS non rappresentano un secondo fattore (un utente malintenzionato con il telefono ha accesso al messaggio SMS!). Alcuni provider tengono conto di ciò e richiedono che le modifiche alle password vengano eseguite tramite il sito Web, anche quando hanno un'applicazione, nel tentativo di garantire che la password esistente sia nota alla persona che tenta di modificare la password (richiedendo che venga inserita anche le modifiche alle password funzionerebbero, ovviamente).

    
risposta data 21.04.2016 - 18:29
fonte

Leggi altre domande sui tag

I messaggi di eccezione generici dovrebbero essere considerati un rischio per la sicurezza? Come gestire gli attacchi DDoS all'esaurimento della larghezza di banda UDP?