Esempio di applicazione che non richiede "autenticazione strong"

Naviga le tue risposte
2

Qualcuno ha qualche esempio di applicazioni reali che non richiede "autenticazione strong". Sto cercando in particolare i post di blog o anche articoli scientifici che sostengano che "autenticazione strong" non è richiesta per tutte le applicazioni ... a volte è necessario autenticare gli utenti usando solo gli indirizzi IP, ad esempio, ma nulla di più sarebbe inutile. ..

EDIT : Ok, penso di aver bisogno di spiegarmi un po 'oltre. Sto cercando un argomento da uno sviluppatore o un imprenditore o uno scienziato (una dichiarazione ufficiale, ad esempio un documento scientifico o semi-ufficiale, ad esempio un post sul blog) che sostiene per un'autenticazione "non strong". L'intuizione di imprenditore è la cosa più importante (che sto cercando). Ad esempio, l'esempio di @Florin Coada è ottimo, ma sarebbe meglio vedere la visione di Apple in merito. Ho provato su Google per giorni, ma le parole chiave che sto usando stanno portando risultati del tutto irrilevanti.

EDIT 2 : le risposte sono fantastiche e forse dovrei estendere la domanda un po '(per l'ultima volta). Ci sarebbe un qualsiasi tipo di applicazione, dove il rischio di "violazione della sicurezza" è elevato, come violazione della privacy degli utenti del tuo servizio (da "utenti esperti" come programmatori esperti), ma hai scelto di fare una "autenticazione debole"?

    
posta FearUs 26.08.2014 - 22:41
fonte

3 risposte

3

Sono in atto protezioni per combattere i rischi. Se i rischi sono bassi, le protezioni possono essere basse.

Pensa a un sito del forum. Potrebbe non esserci motivo per il sito di utilizzare "protezione strong", perché tutto ciò che si vuole veramente fare è essere in grado di identificare chi sta contribuendo. Potrebbe essere determinato che il sito ha bisogno di protezioni molto deboli in quel caso.

La risposta alla tua domanda è nell'analisi del rischio. Fornisci le protezioni appropriate per combattere i rischi che identifichi.

Modifica post Chiarimento:

La prospettiva del proprietario dell'azienda è basata su un calcolo del rischio. Quali sono i rischi se qualcuno viene identificato erroneamente, quali sono i costi se viene realizzato un tale rischio e qual è il costo da mettere in protezioni più forti per ridurre tale rischio? Se i costi di riduzione sono maggiori del costo di un rischio realizzato, allora non è economicamente conveniente, dal punto di vista del business, introdurre protezioni più forti.

ISO 27005 fornisce questo framework di gestione del rischio.

    
risposta data 27.08.2014 - 00:17
fonte
2

Ciò che descrivi sembra un po 'come lo sconto per studenti Apple. Per acquistare qualcosa con uno sconto per studenti devi accedere dalla tua rete universitaria.

Modifica:
Il motivo per cui lo fanno è che non vogliono che questo sia disponibile per tutti (capitano ovvio per il salvataggio).  
Penso che abbiano usato la rete universitaria per identificare le persone perché le persone in genere hanno bisogno di accedere a quelle reti.
Ciò significherebbe che essendo sulla rete universitaria sono registrati con le credenziali degli studenti di quell'università. Ciò li renderebbe studenti (e altri) in quell'università, quindi idonei per lo sconto.

La cosa importante da notare qui è che c'è un altro livello di autenticazione prima dell'autenticazione IP eseguita da Apple.
Fine modifica

Questo post qui: link descrive brevemente questo e spiega anche come è riuscito a bypassare tale autenticazione.

Probabilmente perché hanno capito quanto sia facile per le persone ottenere uno sconto del 15% hanno optato per qualcosa chiamata unidays. Non ho idea di come funzioni, ma questo è un esempio per quello che stavi chiedendo.

    
risposta data 27.08.2014 - 01:31
fonte
2

Ho letto i tuoi chiarimenti. Potresti trovare un argomento interessante nel seguente articolo:

In general, where the party who is in a position to protect a system is not the party who would suffer the results of security failure, then problems may be expected. [1]

vale a dire. l'argomento "non c'è bisogno di investire in sicurezza per noi". Si potrebbe anche tirare ulteriormente questo argomento a "c'è un vantaggio per noi, non usare l'autenticazione strong". La facilità d'uso per l'utente finale, quindi ti ritroverai con più utenti potrebbe essere un esempio.

[1] Anderson, Ross. "Perché la sicurezza delle informazioni è difficile, una prospettiva economica". Conferenza sulle applicazioni di sicurezza informatica, 2001. ACSAC 2001. Proceedings 17th Annual. IEEE, 2001.

    
risposta data 27.08.2014 - 11:27
fonte

Leggi altre domande sui tag

Come dovrei verificare che un backup non sia stato manomesso? Le passphrase devono essere eseguite tramite PBKDF2? Quasi impossibile alla forza bruta?