Impedisci l'accesso Web con le credenziali esposte

Naviga le tue risposte
2

Abbiamo una situazione qui. Il cliente per cui lavoro lavora attualmente come società di intermediazione finanziaria e il loro attuale posizionamento è:

  1. L'azienda ha diversi rami in diverse località
  2. L'azienda ha una base di clienti gigantesca
  3. L'azienda prende la sicurezza in modo serio

Ora, i loro requisiti li specificano:

  1. Le password se condivise dai clienti devono attivare un OTP per l'account reale
  2. Con la generazione di OTP, il proprietario dell'account viene informato

La domanda è cosa si può fare per evitare che persone diverse utilizzino la stessa password condivisa o in modo semplice, quali sono i diversi modi in cui l'azienda può limitare l'uso della password condivisa per gli utenti previsti oltre all'utilizzo di OTP?

Nota: prima avevano una password di trading che insieme alla password principale poteva essere condivisa con la terza parte, quindi non è un'opzione affidabile.

    
posta Shritam Bhowmick 08.08.2015 - 12:57
fonte

2 risposte

1

I problemi con una password sono, che possono essere condivisi e non c'è un buon modo di rendersi conto se è stato condiviso. Non si sa facilmente se la persona A o la persona B hanno usato la password. Come @Rory ha menzionato ci sono modi per provare ad affrontarlo. Implementare una logica sofisticata per verificare se la password è utilizzata dallo stesso essere umano. Puoi monitorare l'IP del cliente e se un utente proverà a effettuare l'accesso dal Sud Africa un'ora dopo essere stato connesso dall'Australia, la tua logica potrebbe ritenerlo sospetto.

Dovresti usare qualcosa che non può essere condiviso facilmente.

È più facile identificare la persona con un secondo fattore. È possibile utilizzare un token OTP che genera una password One Time e che l'utente deve immettere e oppure è possibile inviare una OTP al telefono cellulare dell'utente. Entrambi gli scenari sono supportati da privacyIDEA che è una soluzione open source che potresti dare un'occhiata.

Ma il problema con OTP è ancora, quella persona A potrebbe anche condividere l'OTP corrente con la persona B anche via telefono o e-mail. Persona B: "Ehi, persona A, conosco la tua password statica, ma qual è il tuo OTP corrente?"

Se vuoi essere veramente sicuro, potresti voler utilizzare i certificati client preferibili su una smartcard. Quindi l'utente deve presentare la sua smartcard per il login. la persona A non sarà in grado di "condividere" la sua smartcard via telefono ;-)

    
risposta data 09.08.2015 - 12:25
fonte
1

Se capisco correttamente la domanda, stai cercando di impedire agli utenti di condividere password su un sistema basato sul Web.

Un approccio comune per questo è limitare ogni account a una sessione simultanea, e se una nuova sessione è iniziata, per terminare quella originale.

Ciò riduce l'efficacia della condivisione delle password in quanto non possono effettivamente utilizzare il sistema contemporaneamente.

Potresti anche provare a rilevare gli abusi notando se un account proveniva da un certo numero di sistemi diversi (ad esempio, controllare cose come l'agente utente o l'indirizzo IP di origine) e poi prendere qualche tipo di azione se viene rilevato un abuso.

    
risposta data 08.08.2015 - 19:10
fonte

Leggi altre domande sui tag

Le chiavi di crittografia derivate da password devono essere salate? Il malware può diffondersi tramite il trasferimento di file bluetooth in Android?