Rispondi a email o al testo come verifica?

2

Ho visto molti siti Web che, durante la procedura di registrazione, mi impongono di verificare il mio indirizzo email o il numero di cellulare facendo clic su un collegamento inviato tramite e-mail o inserendo un codice monouso che mi è stato inviato.

In genere trovo che questi sistemi siano dolorosi da usare. Per l'e-mail è fastidioso avere una scheda separata aperta quando faccio clic sul link di verifica, quindi le mie due schede finiscono in stati diversi. Per il cellulare, devo copiare manualmente un codice di sei cifre dal mio telefono nel mio browser web.

Perché non consentire all'utente di rispondere alla posta elettronica o al testo come una fase di verifica, invece di copiare codici e collegamenti? Sembra tecnicamente abbastanza semplice: puoi inserire un nonce nell'e-mail in uscita e assicurarti che rimanga nella parte citata della risposta.

C'è qualche motivo di sicurezza per cui questa non è una buona idea?

    
posta Eric W 13.08.2014 - 18:20
fonte

5 risposte

2

Sono d'accordo con te sul fatto che questo sarebbe conveniente, ma suppongo che potrebbero esserci alcune motivazioni per non farlo.

Problemi dal punto di vista dell'utente:

In primo luogo nel caso della risposta al messaggio di testo - Questo ha probabilmente un impatto monetario. Dove vivo, e posso solo assumere la maggior parte degli altri paesi, i messaggi di testo sono a pagamento. Il costo potrebbe essere insignificante ma il fornitore di servizi non può presumere che tu abbia i soldi per poter rispondere su quel messaggio di testo.

Nel caso dell'e-mail - la maggior parte di queste e-mail viene inviata da indirizzi o tramite provider di posta che non consentono nemmeno le risposte su tali e-mail (suppongo che la motivazione sia in parte basata sulla sicurezza). Questa pratica ovviamente renderebbe impossibile rispondere con una conferma.

Problemi dal punto di vista dei fornitori di servizi:

Se consentono agli utenti di rispondere via email o SMS, devono analizzare le risposte che potrebbero richiedere molto lavoro e consumare risorse computazionali di grande valore. Chiunque abbia mai provato a analizzare le risposte nelle e-mail saprà che le intestazioni vengono modificate o perse e il contenuto del corpo può facilmente cambiare, per non parlare dei problemi di codifica dei caratteri che ti danno mal di testa. Lo stesso con i messaggi di test, anche se in misura minore. Queste risposte ai messaggi di testo dovranno essere analizzate e disinfettate a spese del fornitore di servizi.

Le email sono considerate affidabili dagli utenti ma sfortunatamente sono insicuri. Si noti che non sto dicendo che tutte le e-mail non sono sicure, ma la quantità di server SMTP che non impiegano alcun tipo di protezione del livello di trasporto è scioccante. È anche noto che alcuni protocolli di autenticazione SMTP di base come CRAM-MD5 non sono molto sicuri. Tutto ciò significa che le e-mail possono essere facilmente modificate durante il trasporto da un MItM, rendendo estremamente difficile per il fornitore di servizi affidarsi a tali risposte. Preferirebbero molto che tu prendessi il codice, lo copiassi e lo incollassero in un bel modulo sicuro sul loro sito HTTPS - molto meno lavoro per loro. Questo è ovviamente più rilevante con processi critici e di alto valore come una risposta per autorizzare una transazione Bitcoin da un portafoglio online.

Ciò che ho visto da alcuni siti è una email con un link che punta a un sito sicuro con una stringa di query alla fine che contiene il mio numero di riferimento. Cliccando su quel link, posta al sito sicuro e invia il tuo codice. Funziona perfettamente se si assume che il collegamento non sia stato alterato in qualche modo.

Suppongo che la soluzione migliore sarebbe quella di fornire una gamma di scelte poiché ci sono opzioni alternative su come vorresti rispondere su quella notifica, ma ciò comporterebbe che il sito web lavori di più, che a loro non piace sempre .

    
risposta data 13.08.2014 - 18:51
fonte
1

La risposta e-mail con un token univoco è ancora uno standard su tutti gli elenchi di posta a cui riesco a pensare. E non vedo come possa essere meno sicuro di link-click, entrambi i metodi sono basati sulla riservatezza della posta elettronica, se l'intruso può accedere ai contenuti della posta elettronica, può anche usare un link. D'altro canto, potrebbe essere tecnicamente più difficile per l'intruso inviare una risposta valida a un'e-mail, quindi può anche migliorare la sicurezza.

A quanto pare alcuni pensano che sia più conveniente fare clic su un link che premere il pulsante Rispondi e quindi inviare? Inoltre, usando il collegamento si ha tutta la logica delle app in un unico posto, non è necessario scrivere la logica per elaborare le e-mail in arrivo per il server di posta né cercare un programmatore che sappia come farlo. Lo stesso vale per la risposta testuale, ma quando si risponde al testo, il mobile non cita il testo come fa il client di posta elettronica, quindi sarà comunque necessario selezionarlo, copiare e incollare nel nuovo testo. Non credo che allevierà il tuo dolore:)

    
risposta data 13.08.2014 - 18:55
fonte
1

L'installazione, la configurazione, l'esecuzione, il test, il monitoraggio e l'aggiornamento di un sistema sicuro, robusto ed efficiente per analizzare automaticamente e agire in base alle e-mail ricevute non è banale.

Anche fare quelle cose per un sistema web non è banale, ma qualcuno che gestisce un sito web ha già quell'infrastruttura in atto.

Diffondere il tuo tempo e la tua esperienza su due sistemi significa che hai maggiori probabilità di commettere errori.

    
risposta data 13.08.2014 - 21:27
fonte
0

Questo è spesso dovuto al modo in cui funziona il sistema di posta elettronica stesso. Mentre non è immediatamente ovvio per qualcuno che usa il sistema, la posta elettronica è in realtà composta da più sistemi distinti che lavorano insieme per "e-mail". Si dispone di un server SMTP che è responsabile per l'invio e la ricezione di posta sul protocollo SMTP, ma deve essere salvato da qualche parte per l'elaborazione e il recupero e viene eseguito utilizzando protocolli e server diversi.

Spesso, un sito Web non invia effettivamente una e-mail da un server di posta, ma semplicemente ha una routine di generazione di messaggi SMTP ed è in grado di inviare il messaggio al server destinatario appropriato. In questo caso, il sito Web non ha alcuna possibilità di ricevere effettivamente un messaggio poiché in realtà non ha un server SMTP associato.

Inoltre, anche se al server Web è associato un server SMTP, è necessario un filtro specializzato in esecuzione sul server SMTP che dovrà anche comunicare con il server Web o il database che il server Web sta utilizzando. Questo non è solo molto più complesso di un modulo HTML in cui il valore è inserito sul server web stesso, ma potenzialmente apre anche numerose falle nella sicurezza del sito web poiché ora hai il doppio della superficie di attacco.

    
risposta data 13.08.2014 - 19:15
fonte
0

Come web-dev a volte, è molto più facile per me inviare un'email, piuttosto che analizzarne una. È molto più facile per me accettare una richiesta in entrata con un token di convalida in un parametro di query, piuttosto che analizzare la posta elettronica. Quindi ... ricevi un'email con un link. Ciò mi consente di convalidare che qualcuno con accesso all'e-mail può fare clic su un collegamento, ovvero potrebbe non essere un furbo hacker, ma potrebbe essere effettivamente l'utente. Non è una tecnica che utilizzerei per qualcosa di sensibile (ad esempio dati finanziari). Vorrei altre assicurazioni di identità e ricevuta del messaggio.

I siti che utilizzano la messaggistica SMS / SMS hanno una preoccupazione diversa. Non si dovrebbero usare gli stessi servizi di comunicazione per passare login e password, o login e token di autenticazione. Il fattore secondario per l'accesso con un messaggio di testo rende meno probabile che si stia simulando. Mentre un hacker potrebbe ottenere il controllo del tuo account e-mail, inosservato, e comprare qualcosa ... se hanno anche bisogno di rubare il telefono e qualsiasi misura di sicurezza tu usi per proteggere il tuo telefono ... hanno dovuto andare ad un grande fare più sforzi Potrebbero aver dovuto rubare tu , per esempio.

Il prossimo passo sono quei token di autenticazione a due fattori. Tutto ciò affinché tu possa affermare che tu sei probabilmente davvero te. Essenzialmente è la protezione per il servizio o per te, a seconda di come il tuo ambito legislativo tratta il furto di identità e gli acquisti che non hai consegnato a nuovi indirizzi ...

Se riesci a trovare un meccanismo che dimostri la tua identità, utilizzando solo un singolo canale, senza dover fare clic su un collegamento o su una chiave in qualcosa, sarai amato. È stato un problema per decenni. Quindi tutti quei dongle bancari e le app di autenticazione a 2 fattori, anche per World of Warcraft.

    
risposta data 13.08.2014 - 20:33
fonte

Leggi altre domande sui tag