In che modo le app gestiscono il riciclaggio / la riassegnazione del numero di telefono quando si inviano le reimpostazioni della password?

Naviga le tue risposte
1

Instagram consente agli utenti di registrarsi con il loro numero di telefono (verificato da un pin inviato tramite SMS), un nome utente e una password. Se si dimentica la password, è possibile richiedere un collegamento inviato tramite SMS al telefono per reimpostare la password.

Oggi mi ha colpito il fatto che i numeri di telefono possono essere riassegnati a nuove persone se non vengono più utilizzati, quindi considera quanto segue:

Creo un account instagram con il mio numero di telefono. Quindi ottengo un nuovo numero e non mi preoccupo di aggiornare / rimuovere i dettagli. Qualcuno che ha riassegnato il mio vecchio numero richiede una modifica della password, e voilà: hanno accesso al mio account Instagram?

Sembra che lyft abbia effettivamente sperimentato qualcosa del genere: link

Quindi cosa può fare un'azienda che utilizza i numeri di telefono per la verifica per evitare questo (a mio avviso) problema di sicurezza?

    
posta dan martin 12.05.2017 - 02:47
fonte

3 risposte

2

Al giorno d'oggi, la riassegnazione del numero di telefono non è nemmeno il più grande problema di sicurezza per le app che utilizzano gli SMS come parte del processo di autenticazione. Questo è relativamente raro e non può essere usato (o almeno è molto difficile da usare) per colpire una particolare vittima. In sostanza, quando succede lo fa accidentalmente e non maliziosamente. Anche se non è buono, potrebbe essere peggio. Al contrario, anche solo l'utilizzo di SMS viene sempre più riconosciuto come una soluzione di sicurezza non sicura anche se non cambia il tuo numero di telefono. C'è stato un numero crescente di attacchi di alto profilo che sono accaduti a causa di punti deboli (di tutti i tipi) intorno agli SMS stessi. In poche parole, gli SMS non sono mai stati concepiti per la sicurezza e le compagnie telefoniche sono molto lente nel prendere atto di questo fatto e proteggere in modo più proattivo i propri utenti. Ecco alcune buone letture per esempi:

link

link

Che cosa puoi fare a riguardo? Non molto, sfortunatamente. Molti servizi sono dotati di messaggi di testo come opzione predefinita (o addirittura unica) per l'autenticazione a 2 fattori e il ripristino della password. In questo caso, sfortunatamente non c'è molto che puoi fare a meno di lamentarti o utilizzare un servizio diverso.

Se stai costruendo il tuo servizio, e c'è qualcosa di assolutamente utile (che include praticamente tutte le informazioni personali) quindi assicurati e tieniti aggiornato sulle migliori pratiche per la sicurezza moderna, e quelli di default.

    
risposta data 09.10.2017 - 15:32
fonte
0

Semplice: non inviare tutto al telefono, solo un token o una parte di ciò che è necessario per cambiare la password ...

Ad esempio:

  • non inviare il nome utente come parte del collegamento, ma richiedere che il destinatario inserisca il nome utente durante il ripristino
  • chiedi una domanda di sicurezza
  • invia solo un codice tramite link che l'utente deve inserire per autorizzare la modifica
risposta data 12.05.2017 - 08:22
fonte
0

Credo che una buona risposta sia che queste aziende possono chiedere alla persona che utilizza la verifica telefonica di digitare l'indirizzo email o di digitare il nome e il cognome.

    
risposta data 10.12.2018 - 21:52
fonte

Leggi altre domande sui tag

Possibile backdoor di un listener Netcat? BCRYPT è facile da decifrare?