Quanto è sicura l'e-mail di attivazione?

2

C'è qualche rischio per un Email di attivazione?

Il mio sito ASP.NET è impostato in modo che un utente debba controllare la propria posta elettronica e fare clic su un collegamento di attivazione costituito da un GUID creato come ID utente nelle tabelle dell'appartenenza SQL.

C'è un'applicazione di terze parti che contiene un'Email, un numero ID di 4 cifre non così segreto per ogni potenziale utente, quindi l'utente deve utilizzare questa e-mail e ID insieme per registrare un account, l'account non è "approvato" "fino a quando non attivano il loro account utilizzando il link nell'email inviata a questa email. solo i dipendenti possono impostare l'e-mail e l'ID nell'applicazione di terze parti.

Questo sito gestisce la registrazione di una sottoscrizione email di informazioni semi-privilegiate, questo sito in realtà non gestisce l'invio via email delle informazioni semi-privilegiate.

Oltre all'ingegneria sociale, qual è il rischio associato a questa configurazione per la registrazione dell'utente?

    
posta Malachi 19.12.2014 - 20:46
fonte

3 risposte

2

L'utilizzo del proprio nome utente per generare il GUID non è sufficiente, come aggiungere un indicatore data / ora?

Ci dovrebbe essere un limite di tempo a cui l'utente deve fare clic sul collegamento. Il link dovrebbe scadere anche dopo l'attivazione dell'account, soprattutto se è necessario impostare una password dopo l'attivazione dell'account.

E se sono in grado di ottenere il link di attivazione, il codice a quattro cifre è protetto da una sorta di limitazione della velocità? Questo al fine di impedire alle 10000 richieste di indovinare l'ID a quattro cifre.

    
risposta data 19.12.2014 - 21:47
fonte
2

Il problema principale è che l'e-mail non è un meccanismo di distribuzione sicuro ed è potenzialmente suscettibile di intercettazione. Sfortunatamente spesso il meglio che abbiamo a disposizione per provare a convalidare un utente ha accesso alla casella di posta elettronica, ma non dovrebbe essere considerato attendibile esclusivamente.

Molti server di posta elettronica non tentano di proteggere il contenuto di un'e-mail in transito e qualsiasi computer o router nel percorso dell'e-mail può leggere i messaggi. Chiunque abbia accesso a quel percorso, sia attraverso l'ISP che attraverso un virus sul computer degli utenti potrebbe accedere ai contenuti dell'e-mail.

Inoltre, a meno che l'e-mail non vada in un sito Web protetto da SSL, sarebbe possibile per un utente malintenzionato spoofare la pagina e intercettare il GUID sulla via del ritorno al server.

Molto probabilmente l'utente sarà la persona che possiede effettivamente l'indirizzo e-mail, ma non ne hai la garanzia.

    
risposta data 19.12.2014 - 22:18
fonte
2

"Quanto è sicuro X" è sempre una domanda vaga. Per darti una risposta migliore, dobbiamo capire il valore di ciò che stai cercando di proteggere e il tuo modello di minaccia.

Stai cercando di proteggere un sito bancario o commerciale, dove le persone possono conservare le carte di credito per acquisti futuri? Avrai determinato ladri come non puoi immaginare, e questo non è quasi adeguato. Probabilmente hai più problemi di sicurezza rispetto ai pochi paragrafi di consigli che riceverai qui.

Stai cercando di proteggere un sito di shopping, dove le persone possono navigare, impostare liste dei desideri, riempire i carrelli degli acquisti e scrivere recensioni; ma non pagare sul tuo sito? Cosa pensi che gli hacker potrebbero trovare prezioso? Potrebbero reindirizzare gli acquisti in qualche altro posto dove sarebbero stati rubati? Potrebbe andar bene, ma dovresti pensare a incorporare un altro fattore, ad esempio una domanda di sicurezza, un messaggio SMS, che richiede una visita fisica in un cassiere, ecc.

Stai cercando di proteggere la sezione dei commenti del tuo blog e la tua preoccupazione principale è un esercito di puffi che pubblica link contenenti spam? Dovrebbe essere adeguato.

Stai postando una galleria privata di immagini per amici e famiglie? Probabilmente è eccessivo.

Pensa alle tue minacce e vulnerabilità percepite, in termini di aggressori e loro motivazioni. Quindi torna qui e chiarisci un po 'di più la tua affermazione sul problema e migliora la tua domanda. Se non hai già capito da solo la risposta, saremo ancora qui.

    
risposta data 19.12.2014 - 22:43
fonte

Leggi altre domande sui tag