C'è qualche ulteriore sicurezza / vulnerabilità se permetti a una "parte fidata" di garantire che sei legittimo, se sei stato bloccato fuori dal tuo account?

0

Stavo leggendo questa risposta su una domanda.

link

Recently, at the OWASP AppSec 2010 conference in Orange County, Bill Cheswick from AT&T talked at length about this issue.

....

Allow a trusted party to vouch for the user, so he can change his password.

Certo, so che questo ha 6 anni a questo punto, ma ....

Ero curioso, c'è davvero qualche ulteriore sicurezza in questo? Per "parte fidata" si presume che sia un amico o qualcun altro che è già autorizzato o è un amministratore di sito / app?

Se qualcuno è bloccato fuori dal proprio account così tanto da non poter usare la propria e-mail o l'e-mail di backup per la propria e-mail principale, allora come si ripristinerebbe la propria password? Verrà fornito da questa "fonte attendibile" a un'altra e-mail, o eventualmente tramite telefono / testo (se amico).

Quindi esiste un modo in cui un hacker può violare l'account A, che garantisce l'account B, e quindi fare qualcosa di malevolo all'account B? Dice "Trusted party", quindi se la festa finisce per non essere considerata attendibile, qual è la cosa peggiore che potrebbe accadere?

So che alcuni giochi implementano i "Voucher" che hai guadagnato roba se ti confermi un amico e li porti al gioco, ma non ho mai visto un voucher responsabile nel caso in cui il loro amico fosse bloccato ...

Qualche commento verso questo? Grazie.

    
posta XaolingBao 23.05.2016 - 22:26
fonte

2 risposte

1

La parte fidata è esattamente quella. Qualcuno di cui ti fidi quando ti identifica.

Il voucher più semplice si verifica quando si passa davanti all'Helpdesk e si dice che si è dimenticata la password e che ora sono bloccati dal proprio account. Quindi lo staff IT garantisce che sei tu e reimposta la password.

Ora supponiamo che nessun amministratore di dominio fosse disponibile quando sei andato lì, e hai dovuto andare dopo aver spiegato il tuo problema al loro tirocinante. Quindi lo stagista sarebbe garante che la richiesta di cambiare la password provenga effettivamente da Lasagna e non da un impostore.

Un altro caso comune sarebbe che tali richieste devono passare attraverso un sistema di ticketing. Dal momento che non puoi aprire un ticket mentre sei bloccato, un altro utente (ad esempio il tuo capo o qualsiasi dipendente) ti apre la richiesta, quindi garantisce la tua richiesta.

In effetti, è abbastanza comune nella sicurezza fisica che un organizzatore debba uscire per garantire a qualcuno che viene fermato dalla sicurezza nel tentativo di entrare nella posizione.

If someone is locked out of their account so much that they cannot use their email, or even the backup email for their main email, then how would their password be reset to begin with? Would it be given by this "Trusted source" to another email, or possibly over the phone/text (if friend).

Il fidato potrebbe fornire una nuova email. E sì, il fatto che la richiesta sia davvero autentica potrebbe ricevere la nuova password temporanea. La password deve essere contrassegnata come richiesta di modifica al prossimo accesso, comunque.

    
risposta data 24.05.2016 - 01:56
fonte
0

Direi perché consente un aumento massiccio del danno potenziale se un account viene violato.

Dire che voglio prendere in considerazione A . Se l'account A imposta account B , C e D in modo da garantire per loro, ho altri 3 potenziali target da cui potrei provare a accedere a Weasel. Uno di loro è destinato ad avere una password debole o è suscettibile di ingegneria sociale. Ora che ho accesso all'account C , posso accedere a qualsiasi account il cui account C è stato impostato su "di convalida" come se fossi bloccato. Da questi account, posso continuare in avanti e in avanti per tutti gli account che li hanno come validi.

Ci sono alcune misure di sicurezza che possono essere messe in atto, come la richiesta di un certo numero o più di questi "account in grado di garantire" per garantire ciò che potrebbe renderlo più sicuro.

    
risposta data 23.05.2016 - 23:35
fonte