Reimpostazione della password ogni volta che si effettua l'accesso

Naviga le tue risposte
1

È una buona idea in termini di sicurezza, di reimpostare la password ogni volta che accedi e basta riempire la tua password con un mucchio di simboli casuali, lettere e parole che non ricordi?

Poiché le password con entropia più ampia hanno una sicurezza migliore, perché non riempirla con una lunga sequenza casuale di simboli, parole, numeri e semplicemente utilizzare la tua e-mail per reimpostarla ogni volta che tenti di accedere e successivamente eliminare la posta che ti hanno inviato per recupero. [O SMS al telefono]

Qual è la ragione (principalmente per la sicurezza) che questa idea non è mai stata suggerita molto? [Escluso il fatto che sia fastidioso per alcune persone]

    
posta WQYeo 23.01.2017 - 03:12
fonte

1 risposta

2

Slack fa qualcosa di simile: invece di loggarti con la tua password, hai la possibilità di ricevere una e-mail su un account registrato con un link di accesso singolo. Cliccando sul link accedi. Quindi questo è usato un po ':)

Il problema principale con il tuo schema suggerito è davvero il problema della convenienza. In particolare:

  • Ritardo di accesso. A seconda del carico corrente del server e del provider di posta elettronica, possono essere necessari da 5 secondi a 10 minuti per ricevere un'e-mail con un link di ripristino. Se accedi a qualcosa come il tuo conto in banca, che accedi almeno ogni giorno e ti disconnetti sempre, questo ti fa perdere un bel po 'di tempo a meno che il tuo flusso di lavoro non sia ben pianificato attorno ad esso.
  • La procedura di reimpostazione della password potrebbe interrompersi dopo l'aggiornamento del sito. È probabile che il login interrotto venga individuato immediatamente, ma la reimpostazione della password viene utilizzata molto meno spesso e ci vorrà più tempo per individuare e correggere.
  • La procedura di reimpostazione della password potrebbe essere non sicura. Alcuni siti potrebbero persino generare e inviarti una nuova password temporanea via email (ughh!) - e alcune di quelle password che ho visto erano molto deboli.
  • La procedura di reimpostazione della password potrebbe essere piuttosto complessa (chiedendo nome utente, domande di sicurezza, qualche altra informazione su di te, quindi ti permette di scegliere una password, e poi devi accedere con questa password). Ciò renderebbe abbastanza oneroso il login.
  • In questo schema la tua email è essenzialmente la chiave di tutto e se viene dirottata, bloccata o cancellata (come quando Lavabit spegne il proprio server di posta elettronica - immagina se tu avessi quell'email come registrata?), sei ora in un bel guaio, dal momento che non conosci nessuna delle tue password e non hai i mezzi per ripristinarle facilmente.
  • Infine, dopo molte reimpostazioni il tuo account potrebbe essere bloccato sul server - è un comportamento insolito per gli utenti di reimpostare la password quotidianamente, quindi dipende da quanto sia zelante il loro reparto antifrode. In questo caso, l'assistenza clienti non sarebbe probabilmente in grado di fare nulla per te, oltre a sbloccare il tuo account una volta, e ti dice che potrebbe essere bloccato nuovamente domani se reimposti nuovamente la password.
risposta data 23.01.2017 - 04:45
fonte

Leggi altre domande sui tag

Quali sono le tecniche di mitigazione contro gli attacchi Cache-timing su AES? Che tipo di certificato utilizzare per utilizzare i servizi Web?