autenticazione pin elearning

Naviga le tue risposte
0

Lavoro su un sito Web di salute e sicurezza che offre un corso online con certificazione. Recentemente abbiamo rafforzato la sicurezza tramite le password di amministratore di hashing.

La domanda riguarda l'accesso dell'utente al corso. Attualmente un amministratore attiverà il serial di uno studente nominando un nome utente. Danno poi questo allo studente che è responsabile per l'impostazione della propria password che è anche hash.

Il problema riguarda le password utente hashing, ci vuole molto più tempo per gli studenti per attivare i periodici e accedere / completare il corso. In precedenza, l'amministratore attivava un serial studente per loro con una scelta di nome utente. Il sistema genererebbe automaticamente una password unica di ca. 12 caratteri che sono stati memorizzati in testo normale. Ciò significava che l'amministratore poteva attivare una serie di accessi per dire 12 studenti alla volta e stampare / rilasciare un PDF con il loro accesso completo. Questo sistema era molto più facile da comprendere per tutti, ma ovviamente l'amministratore poteva vedere le loro password.

Quello che mi sto chiedendo, c'è una distinzione nelle cerchie di sicurezza tra password e un codice / pin di accesso. Dire solo una serie di 3 ingressi / selezionare i menu che accettano valori 1-10 per l'accesso utente invece della password. Quindi il pin semplificato potrebbe essere memorizzato / stampato in testo normale, a condizione che sia solo temporaneo e verrà cancellato non appena il corso sarà completato?

L'idea è se è solo un pin di 3 cifre, quindi anche se è conservata in formato testo non è di alcuna utilità per un hacker, perché non sarà accettata come password su nessun altro sito web tipico. Inoltre, solo 2 tentativi potrebbero essere autorizzati ad accedere prima del blocco per evitare attacchi di forza bruta. L'utente può aver bisogno del pin di accesso per un massimo di un'ora mentre completano il corso prima che venga cancellato dal database. C'è un modo sicuro per tornare a un nome utente più semplice + login basato su pin per l'accesso e-learner temporaneo?

    
posta Robert Sheppard 19.07.2018 - 16:03
fonte

1 risposta

3

Ci sono un sacco di domande diverse confezionate qui, quindi ho intenzione di rispondere a quelle di livello superficiale.

I PIN temporanei / monouso sono accettabili nelle cerchie di sicurezza?

Assolutamente, ma solo se è A) one time use, o B) sufficientemente lungo da impedire brute-forcing (cioè 256 bit di casualità).

Esempio A: email di verifica dell'account Google, la cosa che viene oscurata è un token di accesso casuale utilizzabile una sola volta. Se provi a fare clic due volte, il secondo tentativo rimbalzerà:

EsempioB:èanchecomuneutilizzarlopergenerareunlinkperl'accessoanonimoalcontenuto,maquinonèunusosingolo,quindiiltokenhabisognodiabbastanzatempoesufficientementecasualedaimpedirelaforzaturabruta.

IlPINdi3cifreèsufficientementelungo?

Forse?IlbloccodiunPINdopo2tentativierratipuòrisolvereiltuoproblema,maoffreancheunmodosempliceperunutentemalintenzionatodieseguireilDOSdeltuoservizio(ovveromanteneregliutentisemprebloccatiequindiimpedirelorodiaccederealservizio).

Personalmente,mipiacerebbeperderel'ideacheilPINstia"sostituendo" una password, e invece segua l'esempio di Google inviando per email un lungo link monouso che indica al server quale utente e quale corso concedere loro l'accesso . Ciò rappresenterà un minor attrito per gli utenti e meno problemi di sicurezza dal punto di vista della sicurezza.

    
risposta data 19.07.2018 - 16:24
fonte

Leggi altre domande sui tag

Cosa -sn -Pn fa in Nmap? È possibile verificare se un sito Web è vulnerabile a SQLi visualizzando il suo codice sorgente?