Reimpostazione delle password

Naviga le tue risposte
1

Attualmente sto progettando un modulo di registrazione per consentire agli utenti di registrare account. Gli account conterranno molte informazioni personali, quindi voglio garantire la massima sicurezza possibile. Il difetto / problema più grande nel requisito è che il nome utente deve essere la prima lettera dell'utente seguita dal suo cognome, e quindi trovare il nome utente è un compito facile. A causa di ciò, mi assicuro di applicare password minime di 12 caratteri che includono numeri e lettere maiuscole e minuscole.

Tuttavia mi stavo chiedendo se un utente va in vacanza o ha un figlio o prende un lungo periodo di congedo e poi torna indietro senza ricordare la password. Che cosa avrebbe significato per lui recuperare / reimpostare la sua password?

Ho trovato problemi in qualsiasi approccio a cui possa pensare.

Fare domande sulla sicurezza non sembra una buona scelta, dal momento che sembra vanificare lo scopo di far rispettare le password lunghe. Al giorno d'oggi molte persone non sono troppo intelligenti e quindi le risposte a molte domande sulla sicurezza possono essere trovate facilmente online facendo qualche ricerca.

Semplicemente inviando il link di reset o la nuova password temporanea alla posta elettronica dell'utente senza eseguire alcuna autenticazione sembra inutile perché se l'utente ha una password molto debole sulla sua e-mail allora l'hacker proverà a scansionare la propria e-mail invece del proprio account.

E praticamente qualsiasi altra resetta / recupera password significa che posso pensare di sconfiggere lo scopo di garantire che l'utente abbia una lunga password.

Quale metodo di autenticazione / ripristino consiglieresti per questo?

Qualsiasi aiuto sarà molto apprezzato.

    
posta Quillion 12.02.2014 - 15:28
fonte

3 risposte

3

In alcuni scenari molto sicuri (non so se è davvero necessario farlo in questo modo) ho visto le seguenti configurazioni:

  1. Invia la password per lettera (non nel modo più sicuro, ma ...).
  2. Invia metà della password per telefono e l'altra metà per e-mail.
  3. Due diversi operatori telefonici formano parti della chiave temporanea.

Credo che la seconda via sia la migliore, ma credo che il modo migliore di usare la sicurezza / usabilità sarebbe "reimpostare il link" + "sms al numero di cellulare" (qualcosa che l'utente ha). Puoi sempre chiedere alcuni dati riguardanti l'account se vuoi aggiungere alla sicurezza "qualcosa che l'utente sa". Sempre, quando si fornisce un modo per ripristinare la chiave che fornisce uno si deve obbligare l'utente a cambiarlo la prima volta che lo usa.

Sono sicuro che puoi inventare una soluzione partendo da questi punti, ma, come sempre, non esagerare se non è necessario, la maggior parte delle persone tende a pensare che la sua applicazione debba essere NSA-LIKE-EXTRA-SUPER SICURO".

    
risposta data 12.02.2014 - 16:12
fonte
1

Un altro approccio, se il tuo sistema lo consente, è quello di usare chiavi rsa (non le key-fob-thingies, il tipo pubblico-privato).

Ad esempio, con ssh (shell sicura), ho una directory sul mio portatile contenente un file "id_rsa" con una chiave in esso. Sui computer di lavoro, la directory contiene un file id_rsa.pub contenente qualcosa come 

ssh-dss AAAABRHW ... OvfVD9+3+hC+cR1680H5UBe4k= davecb@froggy

Quest'ultimo è (un piccolo frammento di) la mia chiave pubblica, e la macchina da lavoro può usarlo per confermare che ho la chiave privata corrispondente in una frazione di secondo.

Se il mio portatile viene rubato, dico al mio amministratore al lavoro di cancellare il file della chiave privata, e che ne creerò uno nuovo dopo aver ottenuto un nuovo laptop (; -))

Se esco dalla società, l'amministratore elimina il file della chiave pubblica e non riesco più ad accedere.

Il portatile diventa quindi importante, quindi ho un disco crittografato su di esso e la password diventa la mia "password principale", e l'unica che devo memorizzare.

    
risposta data 12.02.2014 - 18:54
fonte
1

Evita completamente il problema; non emettere password. Utilizza identità federata . Esiste un'ampia varietà di provider di identità che gestiranno l'identità dell'utente per te e non dovrai preoccuparti sulla reimpostazione della password (l'elenco fornito è per gli Stati Uniti, l'Europa ha un simile "fornitore di fiducia", ma non ho un link). Aggiornamento: ho rimosso un esempio perché un commentatore ha sottolineato che si trattava di un cattivo esempio. Il punto rimane sano. Identity Ecosystem Steering Group , la Strategia nazionale per Le identità affidabili nel cyberspazio e Kantara sono solo tre organizzazioni che lavorano per rendere la federazione più solida.

Disclaimer obbligatorio; Sono un delegato "at large" per IDESG

    
risposta data 12.02.2014 - 16:41
fonte

Leggi altre domande sui tag

Connessioni VPN vulnerabili a Heartbleed? [duplicare] Qualcuno sa dei laboratori online? [chiuso]