Password Indicatori dello stesso account sui siti Web

2

Sto creando un sistema utente che verrà utilizzato su più siti web senza l'utilizzo di SSO (la seccatura extra non vale davvero la pena al minuto).

Sto cercando dei modi per dire agli utenti che possono usare i loro dettagli di username / password di X Network sui nostri specifici siti web.

Tuttavia - un punto interessante che ho pensato è che sono essenzialmente un segno di un falso senso di sicurezza?

Ad esempio: supponi di accedere a "Sito web A" e vedi il logo "X Network", quindi sai che puoi accedere lì.

Ora, ad esempio, un Phisher imposta "Sito Web P" e inserisce il logo "X Network" in modo che la gente pensi che faccia parte della X Network.

Questi sono più problemi di quanti ne valga?

È più semplice lasciare che l'utente digiti la sua e-mail, e scoprire in che modo hanno un account e poi dire da dove proviene il loro account? O ancora più sicuro: registrarsi dove è stato registrato e comunicarlo o inviarlo via e-mail con le informazioni su X tentativi di accesso non riusciti.

    
posta DomLip 30.08.2017 - 21:33
fonte

2 risposte

1

In base a ciò che hai affermato, alcuni dei tuoi pensieri sollevano alcuni problemi di sicurezza:

  1. Quali protocolli stai usando per costruire questi "trust" tra i siti web? Non dovresti creare i tuoi meccanismi di autenticazione cross-site. Non è mai una buona idea creare da soli questi meccanismi. Dal punto di vista della sicurezza è molto pericoloso, a meno che tu non comprenda veramente le implicazioni e le cadute.
  2. La preoccupazione che hai sul phishing non è propriamente specifica per lo scenario che hai descritto. Un utente malintenzionato può sempre creare un sito Web malvagio-copia-gatto che sembra essere il sito legittimo.
  3. A meno che non si stia utilizzando un metodo di delega degli accessi sicuri (come OAuth o SSO), vorrei evitare di incoraggiare gli utenti a utilizzare le stesse password tra i diversi siti Web. Le best practice affermano che non è necessario riutilizzare le password e che il riutilizzo delle password indebolisce la sicurezza generale dell'intera raccolta di siti Web.
  4. L'enumerazione degli account utente di base è un problema qui. Sembra anche che un utente malintenzionato sia in grado di inserire gli indirizzi email in una delle pagine di accesso e di essere in grado di vedere a quale altro sito Web è associata l'email. Se l'utente malintenzionato capisce che le credenziali tra i siti Web associati sono uguali, allora è facile per l'utente malintenzionato accedere a questi siti Web compromettendo solo una delle credenziali dell'utente.

Suppongo che questi siti Web si trovino su una rete aziendale interna affidabile. Se puoi fornire maggiori dettagli sul motivo per cui stai pensando di costruire qualcosa di personalizzato invece di implementare SSO, potremmo essere in grado di fornire una risposta migliore.

    
risposta data 30.08.2017 - 22:58
fonte
0

Se desideri un'indicazione "X Network Site" che non può essere falsificata potresti essere in grado di utilizzare un certificato EV. Ma dovresti anche addestrare effettivamente i tuoi utenti a cercarli perché nessuno li presta davvero normalmente.

    
risposta data 31.08.2017 - 19:56
fonte

Leggi altre domande sui tag