Hai dimenticato le best practice relative alle password per le applicazioni mobili

3

Esistono buone pratiche per la funzionalità di reimpostazione della password da OWASP e altre risorse. D'altra parte, credo che la maggior parte di noi sia d'accordo sul fatto che le domande di sicurezza non siano facili da usare, o che inducano gli utenti a scegliere risposte facilmente ipotizzabili a domande come "qual è il tuo colore preferito?" o nel caso in cui l'utente dimentichi la password effettiva, molto probabilmente non ricorderà nemmeno la domanda di sicurezza.

Quindi vediamo molti siti Web che forniscono link password via email, il login può anche essere migliorato con l'autenticazione a fattore secondo via email o messaggi di testo.

Modello di minaccia

Nel nostro modello di minaccia, supponiamo di disporre di un'applicazione di pagamento mobile e vogliamo proteggere l'utente in caso di furto del suo telefono cellulare o di accesso da parte di attori malintenzionati. Supponiamo che il cellulare sia suddiviso in (non ci sono password impostate sul dispositivo), ora se un utente malintenzionato ottiene l'accesso al dispositivo, molto probabilmente ha anche accesso all'indirizzo email che è configurato sul dispositivo, quindi può richiedere un reimpostare la password sulle applicazioni installate e inserirle, a meno che non vengano utilizzate domande di sicurezza, ma sono contraria a questa soluzione a causa di problemi sopra citati.

La mia domanda è, in primo luogo, valida questo modello di minaccia, perché non ho visto che venga preso in considerazione in molte applicazioni di pagamento mobile, e in secondo luogo, quanto sarebbe difficile proteggere da tale scenario di attacco e quali sono le possibili soluzioni poiché la maggior parte dei canali laterali (OTP, SMS, Email) sono configurati su dispositivi mobili.

    
posta Silverfox 29.05.2018 - 23:14
fonte

1 risposta

0

Se il dispositivo della vittima non è protetto da password, tutti gli account collegati all'e-mail e / o al numero di telefono di quel dispositivo potrebbero essere compromessi. Ciò è dovuto a un dispositivo che non è stato protetto dall'utente. L'utente IMO dovrebbe essere obbligato a impostare alcune forme di autenticazione sul dispositivo perché molte persone perdono il loro dispositivo o vengono rubate.

Forse questo scenario non viene preso in considerazione dalle applicazioni perché la sicurezza dei dispositivi non è una loro responsabilità, ma la sicurezza delle applicazioni, dove tutto lo sforzo va.

Tuttavia, per compensare l'errore dell'utente di non proteggere il suo dispositivo, le applicazioni mobili potrebbero chiedere all'utente le sue impronte digitali o altri metodi biometrici, quando ripristina la password, l'accesso o qualsiasi altra azione sensibile, oltre all'input della password effettiva. E dovrebbe essere obbligatorio, al fine di proteggere l'utente se lei perderà il suo dispositivo. Lo svantaggio di questo è che non tutti i dispositivi supportano ancora le impronte digitali.

    
risposta data 30.05.2018 - 00:17
fonte

Leggi altre domande sui tag