Quali protezioni vengono prese quando un sistema di login richiede solo un PIN e nessun nome utente? [chiuso]

Naviga le tue risposte
-2

La palestra che vado a dare ai suoi clienti l'accesso all'edificio dando loro un codice PIN a 6 cifre che devono digitare su una tastiera quando vogliono entrare / uscire dalla palestra.

  • La persona che è stata aggiunta al sistema subito dopo di me riceve my_pin + 1 ? Alla fine, qualcuno riceverà my_pin + 1 ? Non è un sistema mal progettato?
  • Che cosa succede quando la palestra ha 999999 clienti?

( Sto solo chiedendo questo perché sono curioso - ho già un PIN - non ho bisogno di un altro :))

    
posta turnip 10.06.2016 - 16:53
fonte

3 risposte

2

1) Non necessariamente. Esistono molti modi per generare numeri casuali interi in un intervallo predefinito (ad esempio, da 000000 a 999999) in modo che se il tuo pin è my_pin , il prossimo utente potrebbe avere un other_pin completamente non correlato. Per quanto riguarda "qualcuno riceverà my_pin+1 ?", Dipende dal numero massimo di clienti simultanei (cioè di PIN validi nello stesso intervallo di tempo), che ci porta alla tua prossima domanda.

2) Da una parte, a meno che la tua palestra non sia molto grande, non avrà mai più di un milione di utenti per anno di abbonamento / mese / semestre. Ad esempio, se può avere al massimo 1.000 clienti, il sistema può essere in grado di generare 1.000 numeri casuali nell'intervallo compreso tra 000000 e 999999. Anche se entro i 10,20 o più anni di attività della palestra, potrebbe effettivamente conta un milione di utenti, questo non è un problema, perché il codice PIN non ha bisogno di essere valido per sempre. Ciò significa che sarebbe piuttosto facile reimpostare la generazione del PIN all'inizio di un nuovo periodo di iscrizione. Le cose diventano un po 'più complesse se puoi iscriverti in qualsiasi momento, ma potrebbe ancora essere fatto. Se ciò non fosse possibile, potrebbero ampliare l'intervallo, diciamo 9999999.

D'altra parte: cosa succederebbe se due clienti avessero lo stesso PIN? Dipende. Se l'unico scopo del PIN è verificare che la persona che entra in palestra sia un vero cliente, non succederebbe nulla di significativo. Tuttavia, è necessario considerare che questo sistema consentirebbe ai tuoi amici di utilizzare le risorse della palestra, a condizione che tu dia loro il tuo PIN, e questo potrebbe non essere nell'interesse dei proprietari. Quindi, fondamentalmente, l'intero sistema (indipendentemente dal metodo di generazione del PIN) sarebbe difettoso, a meno che non fosse usato un altro "sistema di autenticazione", come un addetto alla reception che verifica che gli estranei non entrino in palestra.

Se il PIN fosse in qualche modo correlato agli sconti personali, qualcuno potrebbe essere in grado di ottenere uno sconto che è stato effettivamente indirizzato a te.

    
risposta data 10.06.2016 - 17:14
fonte
1

Dipende da come il sistema è stato configurato dalla tua palestra. Non sarebbe sicuramente sicuro se fosse your_pin + 1, perché poi hai lasciato la palestra, potresti ancora facilmente entrare. Immagino che abbiano una formula per assegnare gli spilli casualmente senza duplicarli. Una volta che la palestra colpisce oltre 999999 clienti (che probabilmente non lo fanno), o iniziano a assegnare spille a due persone (il che significa che non si è in grado di identificare chi è) e sarebbe una pessima idea OPPURE lo aumentano a 7 cifre pin. È difficile dire con certezza quello che hanno fatto, in realtà dipende da chi lo ha creato e da ciò che ritengono sia una buona idea o se abbiano persino pensato alla sicurezza durante la creazione.

    
risposta data 10.06.2016 - 17:13
fonte
1

Prima di tutto: modo troppo ampia di una domanda. Anche immaginando scenari, tutto potrebbe accadere. A volte rispondiamo a domande generali su ciò che potrebbe accadere, ma questo è un po 'eccessivo.

  • Chi lo sa? Non credo che nessuno di noi sia il proprietario della palestra qui, quindi non potremmo sapere come funziona il sistema. Forse tutti avranno lo stesso segnaposto, per quanto ne sappiamo. Anche se i pin sono unici e perfettamente randomizzati, allora sì, c'è una possibilità che qualcuno abbia il tuo spin + 1 (possibilità a seconda che tu possa scegliere lo stesso pin o meno, ecc.)

  • Di nuovo, dipende dal sistema. Tutti i 999999 membri potrebbero avere lo stesso pin, o ogni numero possibile potrebbe diventare un pin funzionante.

Proprio così questa domanda può essere utile: non c'è assolutamente niente male sistema progettato . Tutto questo è relativo: una corretta gestione della sicurezza deve abbinare il sistema, i bisogni e il contesto e quindi richiede una analisi dei rischi adeguata . Non puoi sapere se un sistema è mal progettato o no senza avere alcun indizio su cosa è in gioco.

Ad esempio, potresti:

  • Richiedere al membro della palestra di accedere a un sito Web tramite SSL e ottenere qui la prima parte del suo codice. Il sito Web sarebbe stato naturalmente controllato per le classiche vulnerabilità SQL / XSS / CSRF e relative al software.
  • Quindi la seconda parte del codice arriverebbe via SMS sul telefono dell'utente
  • La terza parte arriva tramite una lettera sull'indirizzo che gli hai dato
  • La quarta parte viene assegnata direttamente dal proprietario della palestra dopo che ha confermato le stampe e il volto corrisponde ai suoi record

Arriveresti di fronte alla palestra dove ti aspetta una tastiera e dove devi digitare la password di 60 caratteri.

Questo sarebbe sicuro? Sicuro. È necessario? Dimmi.

    
risposta data 10.06.2016 - 17:18
fonte

Leggi altre domande sui tag

Qualcuno può vedere se sto navigando sul web tramite telecomando? [chiuso] Una raccolta di test e demo per le intestazioni di sicurezza e le configurazioni TLS [chiuso]