HMAC reimpostazione della password e attacchi di riproduzione

Question

HMAC reimpostazione della password e attacchi di riproduzione

#1 da (2 voti)

4

Mi piace l'aspetto di questa tecnica per l'invio di link per reimpostare la password:

(TLDR: non memorizzare il token nel database. Invia link di ripristino della password w indirizzo email, tempo di scadenza e hmac corrispondente)

specialmente dopo aver letto del bug di .

di Mozilla / Bugzilla reset.

Tuttavia sembra vulnerabile agli attacchi di replay.

Q1 : in quali circostanze è vulnerabile, ipotizzando un buon HTTPS?

Penso che qualcuno che monitora il mio traffico di rete (ad esempio un hotspot Wi-Fi) non sarebbe in grado di riprodurre semplicemente la richiesta GET sul link, correggere?

Q2 : se si tratta solo di un attacco di riproduzione se un utente malintenzionato accede alla mia email o al mio accesso fisico al mio computer, la reimpostazione della password basata su token è altrettanto vulnerabile, in quanto l'autore dell'attacco potrebbe semplicemente richiedere un nuovo link?

passwords hmac password-management replay-detection

posta Neil McGuigan 26.09.2015 - 21:49

fonte

1 risposta

Leggi altre domande sui tag passwords hmac password-management replay-detection

Come funzionano gli exploit di programmi eseguibili autonomi, quando si considera la memoria virtuale? Quali sono i rischi per la sicurezza dell'utilizzo di schemi di indirizzi pubblici per il DHCP degli utenti della VPN?

score 2 · Accepted Answer

Il principale rischio dei sistemi di reimpostazione della password tramite e-mail è il trasporto SMTP del token di ripristino.

Qualsiasi infrastruttura di posta elettronica competente utilizzerà la webmail HTTPS (HTTP / TLS), IMAPS (IMAP / TLS) o POP3 / TLS o un protocollo proprietario come MAPI / TLS. In caso contrario, procurati un altro provider al più presto.

La tua visita del link token di reset stesso utilizza HTTP GET su TLS e l'unica cosa che l'utente malintenzionato può vedere è informazioni sul livello di connessione TCP (origine / destinazione porta / indirizzo).

Ciò lascia all'attaccante solo l'intercettazione SMTP su Internet, sulla rete del mittente o sulla rete del tuo provider di posta. Ciò non è economico per la maggior parte degli attaccanti, a meno che tu non sia un obiettivo di alto valore come un CFO o un altro individuo con accesso privilegiato ai dati.

Se l'utente malintenzionato ha accesso alla tua email tramite compromissione dell'account, può ottenere nuovi link di ripristino. Un token a due fattori lo attenuerebbe. Se l'utente malintenzionato ha compromesso il tuo endpoint, può rubare la tua sessione direttamente. Una difesa per questo è che l'applicazione blocchi le sessioni su particolari host.