Questa procedura "password dimenticata" è sicura / legale?

3

Recentemente, avevo perso la mia password su un'app Web che dovrebbe essere veramente sicura (si pensi all'app Web di tipo banca o pubblica). Questa app web contiene molte informazioni critiche personali (come SSN e stipendio, ma legalmente).

Ecco la procedura che dovevo seguire:

  • Ho provato a rispondere alla mia domanda segreta, ma non ho ricordato la risposta
  • Ho inviato un messaggio al servizio clienti come consigliato. È stato creato un "ticket" con un numero.
  • Un indirizzo e-mail generico, non protetto (nessuna firma, ecc.) mi ha chiesto di rispondere all'e-mail con una scansione del mio ID (anteriore e posteriore). L'unica cosa che mi ha fatto fidare di questa e-mail è che c'era il mio numero di biglietto.
  • Ho risposto, quindi ho dovuto scrivere la mia e-mail a un indirizzo come "[email protected]", con il numero del biglietto e la scansione del mio ID.
  • Quindi, mi hanno inviato la risposta della mia domanda segreta, quindi l'hanno memorizzata in testo semplice
  • Ho risposto alla mia domanda segreta, che ha generato un link inviato a me tramite e-mail per scegliere una nuova password

Due cose mi mettono in guardia qui, ma non sono sicuro che sia così male:

  • Ho dovuto inviare una scansione del mio ID, fronte e retro, a un indirizzo e-mail non protetto potenzialmente accessibile da parte di molti membri dello staff dell'azienda.
  • La risposta alla mia domanda segreta è archiviata in testo semplice (o equivalente), quindi chiunque può accedere al database può vederlo, ma per utilizzarlo devono accedere al mio account di posta elettronica.

Sono in Europa quindi potrebbe cambiare alcune cose, dal punto di vista giuridico.

AGGIORNAMENTO PER CHIARIMENTO:

Le mie domande sono:

  • Un utente malintenzionato può fare qualcosa di sbagliato con la mia risposta segreta se ha accesso ad esso?
  • Va bene, dal punto di vista della sicurezza delle informazioni e della giurisprudenza, chiedere un ID in un modo non protetto (nessuna crittografia o altro), non attendibile (senza firma) e generico (potenzialmente tutti nella società dell'app Web possono accedervi) ) indirizzo e-mail?
posta LP154 14.09.2018 - 12:10
fonte

1 risposta

4

Per prima cosa, le domande sulla legalità devono essere indirizzate al link . Per quanto riguarda il resto, analizziamolo sulla sicurezza segreta e sulla sicurezza dell'ID:

Domande segrete

L'uso di domande segrete per il recupero dell'account è stato per un po 'un passo di sicurezza "deprecato". Il mio esempio è il motivo per cui questa è una cattiva idea è l'hacking dell'account di posta elettronica di Sarah Palin durante le elezioni presidenziali degli Stati Uniti del 2008. La persona che ha effettuato l'accesso alla sua email lo ha fatto utilizzando la funzionalità di reimpostazione della password di yahoo, che è stato in grado di fare perché ha utilizzato domande segrete e tutte le sue domande / risposte erano basate su informazioni pubblicamente disponibili sulla sua vita.

Come suggerimento generale, ogni volta che incontro un sito che utilizza domande di sicurezza, in realtà non rispondo a nessuna delle domande poste. Invece io generare una stringa casuale lunga (che memorizzo in un gestore di password o cosa no) e la uso per la risposta. Poiché le domande di sicurezza si basano su informazioni personali, rappresentano un fattore di rischio principalmente per attacchi mirati (aka Sarah Palin). Di conseguenza, l'utilizzo di una stringa casuale come risposta a una domanda di sicurezza significa che anche se qualcuno conosce il secondo nome dell'insegnante di secondo grado, l'ancora non sarà in grado di penetrare nel tuo conto bancario (perché in realtà non hai risposto la domanda che hanno chiesto). Quindi qualunque cosa tu faccia, se un sito usa le domande di sicurezza, trattalo come una password e fornisci una lunga stringa casuale. Inoltre, tieni presente che chiunque crei il sito non sta effettivamente facendo bene la sicurezza.

Sulla domanda effettiva però: "È sicuro?". Safe è un termine privo di significato nel mondo della sicurezza. Niente è sicuro. È sempre e solo "abbastanza sicuro per i miei scopi". Da quella prospettiva probabilmente non mi preoccuperei too molto se stessero memorizzando le risposte in testo normale. La risposta a un paio di domande di sicurezza probabilmente non aiuterà molto un aggressore perché pochi siti in questi giorni li usano ancora e le domande variano da un sito all'altro. Di conseguenza, anche se qualcuno trova una risposta a una tua domanda di sicurezza su un sito che usi, non può semplicemente andare in giro ad accedere ad altri tuoi account come possono se avessero trovato la password che hai usato ovunque. Tuttavia, ora potrebbe essere il momento di trovare tutti i tuoi account su sistemi che hanno domande di sicurezza e sostituirli con termini privi di significato anziché reali (o semplicemente eliminare il tuo account poiché queste persone non sanno cosa stanno facendo).

Identificazione emailing

Penso che tu sappia più o meno la risposta a questa persona, ma solo per dirla ad alta voce: mandare email su PI sensibili (informazioni personali) su un canale non sicuro è decisamente una cattiva idea. In questo caso, tuttavia, ha il vantaggio di farti sapere che hanno pratiche di sicurezza scadenti. Una volta ho utilizzato un sistema che mi ha richiesto di scattare una foto del mio ID utilizzando la webcam del mio computer tramite una connessione HTTPS sicura. Suona bene ovviamente (o almeno, questo è il minimo richiesto per farlo bene). Per quanto ne so, hanno memorizzato le immagini del mio id in un bucket AWS S3 pubblico che verrà in seguito individuato dagli hacker e successivamente inserito nelle notizie ( e succede ogni altro giorno ).

Capisco che non è una gran consolazione, ma dato che è abbastanza ovvio che avere le tue informazioni personali inviate attraverso canali non criptati è una pessima idea, immagino che potrei anche provare a trovare delle buone notizie. Almeno ora sai che la loro sicurezza è terribile, e puoi prendere misure di conseguenza - generare e utilizzare una password lunga e unica per questo sito, cambiare le risposte alle tue domande di sicurezza in modo che siano lunghe stringhe casuali, archiviare come poche informazioni nel loro sistema come puoi farla franca, e lamentarti ad alta voce di chiunque tu possa su quanto male stanno usando e memorizzare i tuoi dati. Se puoi anche confermare che stanno archiviando i tuoi dati illegalmente, allora hai una nuova serie di persone alle quali puoi lamentarti, quindi forse qualcosa può essere fatto anche su di esso (ma non terrei il fiato sospeso).

    
risposta data 14.09.2018 - 15:46
fonte