HMAC reimpostazione della password e attacchi di riproduzione

4

Mi piace l'aspetto di questa tecnica per l'invio di link per reimpostare la password:

link

(TLDR: non memorizzare il token nel database. Invia link di ripristino della password w indirizzo email, tempo di scadenza e hmac corrispondente)

specialmente dopo aver letto del bug di .

di Mozilla / Bugzilla reset.

Tuttavia sembra vulnerabile agli attacchi di replay.

Q1 : in quali circostanze è vulnerabile, ipotizzando un buon HTTPS?

Penso che qualcuno che monitora il mio traffico di rete (ad esempio un hotspot Wi-Fi) non sarebbe in grado di riprodurre semplicemente la richiesta GET sul link, correggere?

Q2 : se si tratta solo di un attacco di riproduzione se un utente malintenzionato accede alla mia email o al mio accesso fisico al mio computer, la reimpostazione della password basata su token è altrettanto vulnerabile, in quanto l'autore dell'attacco potrebbe semplicemente richiedere un nuovo link?

    
posta Neil McGuigan 26.09.2015 - 21:49
fonte

1 risposta

2

Il principale rischio dei sistemi di reimpostazione della password tramite e-mail è il trasporto SMTP del token di ripristino.

Qualsiasi infrastruttura di posta elettronica competente utilizzerà la webmail HTTPS (HTTP / TLS), IMAPS (IMAP / TLS) o POP3 / TLS o un protocollo proprietario come MAPI / TLS. In caso contrario, procurati un altro provider al più presto.

La tua visita del link token di reset stesso utilizza HTTP GET su TLS e l'unica cosa che l'utente malintenzionato può vedere è informazioni sul livello di connessione TCP (origine / destinazione porta / indirizzo).

Ciò lascia all'attaccante solo l'intercettazione SMTP su Internet, sulla rete del mittente o sulla rete del tuo provider di posta. Ciò non è economico per la maggior parte degli attaccanti, a meno che tu non sia un obiettivo di alto valore come un CFO o un altro individuo con accesso privilegiato ai dati.

Se l'utente malintenzionato ha accesso alla tua email tramite compromissione dell'account, può ottenere nuovi link di ripristino. Un token a due fattori lo attenuerebbe. Se l'utente malintenzionato ha compromesso il tuo endpoint, può rubare la tua sessione direttamente. Una difesa per questo è che l'applicazione blocchi le sessioni su particolari host.

    
risposta data 26.09.2015 - 22:09
fonte

Leggi altre domande sui tag