Misure di sicurezza per il collegamento "Password dimenticata"

3

Ho notato che Facebook invia un codice "Password dimenticata" di sei cifre, che è molto breve per un codice di convalida, quindi presumo che stiano facendo quanto segue:

  • Imposta una variabile di sessione che è collegata al codice in modo che nessun altro client possa utilizzare lo stesso codice
  • Forse anche, imposta il numero massimo di tentativi di inserimento del codice corretto

Ho due domande:

  1. Il precedente è il modo migliore per fare i link "Password dimenticata"?
  2. È un'alternativa non impostare una variabile di sessione né limitare i tentativi, ma semplicemente aumentare la lunghezza del codice in modo che la forza bruta diventi impossibile? Quanto tempo dovrebbe essere questo codice, quindi? O questo è considerato molto insicuro?

EDIT: il codice Facebook è facoltativamente inviato al tuo cellulare per essere inserito manualmente sul tuo computer, che deve essere il motivo per cui scelgono di tenerlo breve.

    
posta forthrin 13.08.2013 - 17:58
fonte

2 risposte

3

Di solito limitano il periodo di tempo in cui il codice è valido. Questa è probabilmente la funzione di sicurezza chiave.

In realtà è relativamente sicuro. Un utente malintenzionato non sarà in grado di eseguire la forza bruta, in quanto interromperà o supererà i tentativi, quindi sarà necessario compromettere l'account di posta elettronica.

    
risposta data 13.08.2013 - 18:10
fonte
2

"quindi presumo che stiano facendo quanto segue" - Perché dovresti fare queste ipotesi? I difetti di sicurezza provengono da persone che fanno supposizioni che risultano errate:

Ci dovrebbe essere spazio in abbondanza in questo buffer

10 ^ 6 sono troppi per essere indovinati da qualcuno

Il sistema operativo mi fornirà una buona fonte di casualità

etc, etc, etc

Non sono sicuro di essere d'accordo con la valutazione di Rory relativamente "relativamente sicura". A nessuno importa abbastanza del mio account FB per impostare test pin distribuiti, ma è possibile creare facilmente un elenco di 100 account Facebook estremamente preziosi: Whitehouse, McDonalds, Jay-Z.

La domanda che vorrei chiedere è perché sei cifre? È stato un costo proibitivo usare 8 o 10 o 20? Gli utenti non devono digitare questi, fanno clic su un collegamento, giusto? È solo che le 6 cifre erano più esteticamente gradevoli di 20 cifre di A-Za-z0-9? Personalmente mi piace l'aspetto di 62 ^ 20 molto più di 10 ^ 6.

Indipendentemente dalla lunghezza, anche i pin dovrebbero scadere. Se ho bisogno di entrare nel mio account oggi, non lascerò che il link rimanga nella mia email per una settimana. 60 minuti dovrebbero essere abbastanza lunghi. Non è possibile utilizzarlo, quindi fai nuovamente clic sul link "password dimenticata".

    
risposta data 13.08.2013 - 18:58
fonte

Leggi altre domande sui tag