Duo Security ha dimenticato il flusso di lavoro della password

3

Sto aggiornando il flusso di lavoro della password dimenticata della mia azienda. Attualmente usiamo Duo Security come secondo fattore di accesso (ma ai fini della mia domanda questo può essere un qualsiasi servizio del genere). Ho seguito le migliori pratiche di Owasp e hanno senso.

La mia confusione deriva da ciò che vedo altri siti implementano il flusso di lavoro delle password dimenticate. Tendo a vedere canali secondari come SMS / Email usati per inviare token una volta con domande di sicurezza e quant'altro, anche se usano un servizio come Duo. Per esempio, non vedo mai un sito fare una notifica push DUO insieme a una domanda di sicurezza (o altro elemento "che conosci").

Mi manca qualcosa di ovvio?

    
posta user3140924 05.06.2018 - 22:41
fonte

1 risposta

2

Gli attacchi che hai citato sono reali problemi al modello di minaccia.

Mi piace pensare che l'e-mail sia la chiave principale per la maggior parte degli account online. SMS è probabilmente migliore, ma simile rischio. Ti permettono di bypassare la password per accedere. Se riesco ad accedere alla tua email, posso accedere alla maggior parte dei tuoi account.

I siti che supportano MFA o 2factor dovrebbero comunque chiedere il secondo fattore dopo un reset pw. Se non lo fanno, in realtà controllano solo un singolo fattore: l'utente può accedere all'account e-mail associato.

Se hai visto questo, è una vulnerabilità nell'app Web e potresti segnalare il flusso vulnerabile al webmaster.

    
risposta data 05.06.2018 - 23:34
fonte

Leggi altre domande sui tag