La password monouso come metodo di autenticazione predefinito?

2

I pazzi requisiti della password ( joke1 , joke2 ) mi portano in una situazione in cui non c'è modo per me di memorizzare le password per i vari siti che rendono tali requisiti.

Il risultato è che ogni visita a quei siti è un esercizio di recupero password (fai clic sul link per il recupero della password, rispondi a una domanda personale, ricevi un messaggio di testo con un codice o un'e-mail con un link, inserisci il codice / visita il link, inventa una password che non userò mai più , finalmente accedi al sito).

La mia domanda è: perché non possiamo semplicemente saltare la fase inventare una password che non userò mai ?

E-mail

Un'altra domanda Quali sono i vantaggi e gli svantaggi di inviare via e-mail a un utente un token / link di accesso? le risposte sono:

  1. Richiede l'accesso e-mail sullo stesso computer (usabilità)
  2. Richiede l'aggiornamento del proprio indirizzo e-mail con il sito quando l'indirizzo è cambiato
  3. È vulnerabile a un attacco su una singola e-mail utente

SMS

Sembra che questi problemi non siano rilevanti per l'approccio con il cellulare / sms.

  1. Ci sono problemi di sicurezza con questo approccio?
  2. Ci sono siti che usano questo approccio?
posta sds 15.04.2015 - 19:27
fonte

2 risposte

3

Are there any sites which use this approach?

Sembra molto simile a Le password su richiesta di Yahoo .

Yahoo announced that in lieu of a standard username-password combination, Yahoo users in the US could log into their accounts with one-time passwords sent to their mobile phones via SMS message.

Are there security issues with this approach?

Sì, come l'approccio email è vulnerabile a un attacco su un account di posta elettronica, questo è vulnerabile a un attacco su un dispositivo. Il dispositivo potrebbe essere rubato o, se si tratta di uno smartphone, il malware potrebbe essere progettato per accedere ai messaggi SMS e inviarli a un utente malintenzionato. Inoltre, considera che cosa succede se il telefono viene perso o la SIM è scaduta (diciamo che si trattava di un vecchio telefono e ti rendevi conto solo di averne bisogno per accedere al tuo account).

The crazy password requirements lead me to a situation where there is no way for me to memorize the passwords to the several sites that make those requirements.

The result is that every visit to those sites is a password recovery exercise (click on the password recovery link, answer a personal question, receive a text message with a code or an e-mail with a link, enter the code/visit the link, invent a password that I will never use again, finally access the site).

Questo è già un problema risolto. Ottieni un gestore di password, proteggi tutti i tuoi account con una password master strong e memorabile e poi puoi recuperare tutto senza ricordare le combinazioni di nome utente e password.

    
risposta data 15.04.2015 - 19:55
fonte
0

Pertanto, un paio di siti ti consentono di accedere con, ad es. OpenID , Google o Facebook, eliminando così la necessità di credenziali separate.

Facebook ha anche ha introdotto token di accesso monouso ("password", OTP).

Per quanto riguarda gli SMS, ricorda che gli SMS sono messaggi di testo libero che sono protetti solo se il collegamento tra il tuo dispositivo e il provider di rete cellulare e di archiviazione del provider e del dispositivo è crittografato.

È noto che gli SMS sono stati intercettati in diversi casi (almeno sui dispositivi terminali e via etere), quindi dovrebbero essere considerati solo un buon secondo fattore di autenticazione, ma dovrebbero essere utilizzati come unico fattore per molto solo le applicazioni a basso valore.

Come ha detto SilverlightFox, un gestore di password è un'opzione raccomandata per siti one-shot (es. e-card) e non critici come Facebook o siti critici se ti fidi del gestore di password e te stesso, o se il sito utilizza un secondo fattore di autenticazione per azioni critiche, come Internet banking.

Il pericolo di utilizzare un gestore di password è che una volta compromesso il tuo dispositivo / gestore, anche tutte le credenziali archiviate potrebbero non essere nemmeno conosciute per molto tempo.

    
risposta data 16.04.2015 - 03:51
fonte

Leggi altre domande sui tag