Rimanderà la scelta della password fino a quando l'attivazione dell'account non migliorerà la sicurezza?

Naviga le tue risposte
2

Circa un anno fa, per circa due mesi, molti account utente con indirizzo email di accesso non verificato si sono accumulati.

Tutti gli indirizzi appartenevano a @ yahoo.com. Sembra (non so per certo) una specie di Yahoo! La vulnerabilità di Messenger ha permesso ad alcuni hacker di diffondersi su molti sistemi e quindi creare account sul nostro sito Web.

Alcuni utenti hanno fatto clic sul link di attivazione, sebbene l'e-mail informasse correttamente di non intraprendere alcuna azione se non hanno richiesto un account.

L'unica cosa che poteva essere dedotta come utile per gli aggressori era che conoscevano le password per i nuovi account e speravano di creare il maggior numero possibile di account (da diversi indirizzi IP) con uno sforzo automatico da diverse posizioni , evitando i captcha o altre protezioni che limitano la velocità.

Questo stesso tipo di attacco può essere usato per impersonare qualcuno con un accesso elevato ad alcuni servizi (io penso).

L'unica protezione che riesco a pensare è chiedere all'utente di scegliere una password dopo facendo clic sul link di attivazione dell'account, che eseguirà anche l'accesso automatico. Per creare un account, all'utente verrà richiesto solo il suo indirizzo email. Non ho visto questo fatto da nessun'altra parte, c'è un security svantaggio che mi manca?

    
posta Tiberiu-Ionuț Stan 11.02.2014 - 12:19
fonte

2 risposte

1

Quindi, se sto leggendo la tua domanda correttamente, sei preoccupato per gli aggressori che creano account usando gli indirizzi e-mail che non possedevano.

La prima domanda sarebbe "perché questo è un problema?" Immagino che solo una piccola percentuale delle persone a cui sono stati utilizzati erroneamente gli indirizzi e-mail avrebbe fatto clic su un link di registrazione per un account che non hanno richiesto?

Inoltre è generalmente possibile per chiunque creare un account su un sito che richiede solo un indirizzo e-mail valido. Se hai il tuo nome di dominio puoi usare [anything] @ domain.name per tutti gli account che desideri e ci sono anche servizi che forniscono esplicitamente indirizzi e-mail temporanei allo scopo di iscriversi alle cose.

Se il problema è che non vuoi che questi account ingombrino il tuo sistema, allora suggerirei che il modo migliore per impedirlo è quello di farli prendere qualche azione dopo che fanno clic sul link in e-mail, prima di attivare l'account.

Ad esempio, chiedi loro di accedere con le credenziali che hanno utilizzato per registrarsi e legarlo al codice one-time nel link.

    
risposta data 11.02.2014 - 15:42
fonte
0

Il primo svantaggio che posso pensare è che se il tuo servizio è molto usato, qualcuno deve solo indovinare uno dei link attualmente attivi e sarà quindi in grado di scegliere una password e prendere il controllo dell'account, soprattutto dal momento che intendi registrarli automaticamente in cui dare loro il nome utente e la password che hanno selezionato.

Devi davvero avere l'utente di creare un nome utente e una password quando richiedi l'account e poi confermarlo quando fanno clic sul link di convalida (a meno che la loro sessione sia ancora valida).

    
risposta data 11.02.2014 - 17:37
fonte

Leggi altre domande sui tag

Winmail.dat è un vettore di propagazione del malware? Esistono attacchi noti per un laptop con la connessione wifi spenta?