Implementazione della verifica in due passaggi tramite e-mail per le app Web?

Naviga le tue risposte
3

Stavo pensando di applicare la verifica in due passaggi alle mie app Web che funzionerà in modo simile alla verifica in due passaggi SMS / voce di Gmail, ad eccezione della mia app web che invierà tramite e-mail il codice di verifica ogni volta che un utente esegue l'accesso.

Mi chiedevo se questa fosse una buona pratica o fosse ancora vulnerabile? Chiedo perché nessuno sembra implementarlo. Ad esempio, Paypal utilizza un gadget mentre Blizzard utilizza un'app per smartphone per la verifica in due passaggi. Penso che potrebbero utilizzare anche i codici di verifica della posta elettronica, ma non lo fanno. Qualche problema con l'email?

    
posta IMB 19.04.2012 - 22:47
fonte

1 risposta

2

Vedi Se includo un servizio di password dimenticata, qual è il motivo dell'utilizzo di una password? . Questa domanda considera se possiamo usare una funzione "Ho dimenticato la password, per favore inviami un codice di reset" come modo principale di accedere al tuo account. I problemi sono simili.

In particolare, lo svantaggio principale è che, dal punto di vista dell'usabilità, potrebbe essere fastidioso dover attendere che l'email venga visualizzata ogni volta che l'utente esegue l'accesso.

Dal punto di vista della sicurezza, è (secondo me) un approccio ragionevole, sebbene non perfetto. Lo svantaggio principale della sicurezza è che l'account e-mail dell'utente diventa un grave rischio: se l'account e-mail dell'utente viene violato, l'utente malintenzionato potrebbe essere in grado di accedere all'account (ad esempio, se l'utente utilizza la stessa password per l'account e-mail e per il loro account sul tuo servizio). Inoltre, il modo in cui gestisci il reset della password diventa cruciale per la sicurezza. Se segui la pratica standard di inviare semplicemente all'utente un link di reset, allora hai creato un grosso punto debole nel tuo sistema: questo rende facile per un utente malintenzionato che ha compromesso l'account email dell'utente per poi rubare l'account dell'utente al tuo servizio , senza indovinare, utilizzando la procedura di reimpostazione della password.

A proposito, questa non è un'autenticazione a 2 fattori. Non aspettarti che questo fornisca lo stesso livello di sicurezza dell'autentica autenticazione a 2 fattori, come la verifica vocale / SMS di Google. Ad esempio, se qualcuno accede al computer dell'utente (ad esempio, il computer dell'utente viene rubato, il compagno di stanza dell'utente sta giocando brutti scherzi all'utente), allora quella persona sarà in grado di accedere all'account dell'utente sul tuo servizio.

P.S. Vedi anche Quali problemi ha questa procedura di "recupero account"? , Password inviata tramite e-mail al momento della registrazione , Password dimenticata o inviata per e-mail ripristina il link, sia altrettanto insicuro? . E, se possibile, ti consiglio di utilizzare SSL in tutto il sito.

    
risposta data 23.04.2012 - 18:42
fonte

Leggi altre domande sui tag

John the ripper: creazione di regole specifiche Come funziona il brainstorming per una squadra come "Project Zero" di Google [duplicato]