Il processo di BSI è buono? (Informando i proprietari di indirizzi e-mail che il loro indirizzo / password (di account sconosciuti / diversi) è stato rubato)

Naviga le tue risposte
3

Il tedesco BSI (Ufficio federale per la sicurezza delle informazioni) reclami per avere un elenco di 18 milioni di indirizzi e-mail e password - presumibilmente il risultato di un furto di identità.

Permettono di verificare se il proprio indirizzo email fa parte di questo (o di un vecchio) elenco, che funziona in questo modo:

  1. Inserisci un indirizzo email al link
  2. Dopo l'invio, mostrano un codice di quattro cifre.
  3. Se l'indirizzo email inserito NON fa parte dell'elenco: non succede nulla.
  4. Se l'indirizzo email inserito fa parte dell'elenco: La BSI invia un'email all'indirizzo inserito, che
    • è firmato con la chiave OpenPGP e
    • contiene il codice di quattro cifre nella riga dell'oggetto.
    • (La posta non contiene la password.)

La firma OpenPGP e il codice nella riga dell'oggetto assicurano che l'email provenga effettivamente dal BSI (i phisher già inviano email nel nome del BSI).

Ma oltre a questo, questo processo è davvero una buona pratica?

Per quanto posso vedere, ha due problemi:

  • Non è noto se l'elenco contenga login per provider di posta elettronica o per altri siti (negozi, ecc.). Ma se questi sarebbero login per gli account di posta elettronica (o se le persone usano la stessa password lì), i ladri potrebbero controllare l'account di posta elettronica e filtrare qualsiasi email proveniente dal BSI, giusto? Quindi queste persone non si accorgerebbero mai che i loro dati sono contenuti nell'elenco di BSI.
    • Quindi le persone che non ricevono posta non possono essere sicuri che i loro dati non siano nella lista o se la posta sia stata intercettata (a meno che non cambino la loro password prima di inserire anche il loro indirizzo email nel test).
  • E poiché non inviano la password contenuta nella lista, gli utenti (che usano password uniche per ogni sito) non possono sapere quali dei loro account sono interessati (→ molti siti usano indirizzo email come nome utente).
    • Quindi le persone dovrebbero cambiare le loro password su tutti siti usando il loro indirizzo email come nome utente.

Ho ragione? O ci sono dei buoni motivi per cui lo gestiscono così?

Il processo potrebbe essere migliorato? Esistono buone pratiche per situazioni del genere in cui sono coinvolti i dati di molti servizi diversi (e non solo da un singolo fornitore)?

    
posta unor 07.04.2014 - 18:57
fonte

1 risposta

1

Penso che sia una questione di laurea. L'elenco aiuterà molte persone ma forse non tutti. Tuttavia, se qualcuno ha già il controllo della tua e-mail hai comunque maggiori problemi.

È meglio che non essere in grado di scoprirlo del tutto, anche se almeno la maggior parte delle persone sarà in grado di scoprire e modificare i propri dettagli, se necessario.

L'unico miglioramento che posso pensare sarebbe di avere prima una pre-conferma. Inserisci il tuo indirizzo, il sistema ti invia un'email con un codice che non hai visto. Inserisci il codice e conferma che hai un certo livello di controllo del tuo indirizzo email. Quindi invia le informazioni. Qualsiasi account compromesso richiederebbe un monitoraggio e un filtraggio più sofisticati per consentire la prima e-mail ma non la seconda. Difficilmente ne vale la pena per chiunque.

    
risposta data 19.05.2014 - 17:52
fonte

Leggi altre domande sui tag

L'attacco frammentato sovrapposto usando Scapy Che cosa fanno Msgsrvr e Scientia-ssdb?