لماذا يعتبر نهج الاستجابة للتحدي حلاً سيئًا لكلمات المرور المنسية؟

Question

تعمل شركتي على تطوير تطبيق للموارد البشرية وكشوف المرتبات عبر الإنترنت حيث يعد تأمين الوصول أمرًا بالغ الأهمية.أنا واضح بشأن كيفية تأمين معظم عمليات المصادقة/الترخيص، باستثناء صفحة "نسيت كلمة المرور".

كانت خطتي الأولية هي مطالبة المستخدم بإدخال عنوان بريد إلكتروني وإجابة على سؤال التحدي الذي تم تحديده/إدخاله مسبقًا، مع إرسال كلمة مرور مؤقتة بالبريد إلى البريد الإلكتروني المدرج (بافتراض أن البريد الإلكتروني صالح).لكني قرأت هنا و هنا (كلاهما في SO) أن نهج التحدي والاستجابة غير آمن.

إذا كنا نرسل فقط كلمة مرور مؤقتة عبر البريد الإلكتروني، فهل هي حقًا غير آمنة؟الخيار الوحيد الأكثر أمانًا الذي يمكنني التفكير فيه هو مطالبة المستخدم بالاتصال بممثل خدمة العملاء، الأمر الذي من شأنه أن يثقل كاهل موظفينا بشكل كبير.

ماذا ينقصني ...هل هناك طريقة أفضل؟شكرًا!

Answer 1

لا تكتب كلمة مرور مؤقت، البريد الإلكتروني للمستخدم URL + رمزية إلى صفحة إعادة تعيين كلمة السر. وبهذه الطريقة لا كلمة السر هو التغير أيدي غير مشفرة. كما انها واضحة على الفور إلى المستخدم النهائي أن حسابه قد تم اختراقه إذا حاولوا الذهاب إلى تلك الصفحة، وقد تم بالفعل استخدام رمز إعادة تعيين.

وأضاف من التعليقات:

وأعتقد أن التحدي والاستجابة ( "السؤال السري") جوانب الواقع يجعل الأمور أقل أمنا، لأنها عادة ما تكون الأشياء التي يمكن اكتشافها عن طريق البحث في المعلومات العامة حول الهدف. مجموع الخطوات أقل، وأقل لا يمكن كسرها دون أن يعلم أحد. السماح رسائل البريد الإلكتروني إعادة تعيين تذهب في وقت مبكر، وغالبا ما هو وسيلة جيدة للسماح إنسان يعرف تبذل محاولة.

Answer 2

وكما هو موضح في هذه المقالة ، تم اختراق الحاكمة بالين حساب البريد الإلكتروني مؤخرا باستخدام أجوبة على الأسئلة التي طرحت سابقا. من المقال:

<اقتباس فقرة>   

وكما هو مفصل في التعيينات، وبالين الإختراق لا تتطلب أي مهارة حقيقية. بدلا من ذلك، أن القراصنة ببساطة إعادة تعيين كلمة المرور بالين باستخدام لها تاريخ الميلاد، الرمز البريدي والمعلومات حول حيث التقت زوجها - مسألة الأمن على حساب ياهو لها، والتي تم الرد (اسيلا الأعلى) من قبل جوجل للبحث بسيطة

Answer 3

هناك بعض الطرق الشائعة لإدارة كلمات المرور المفقودة:

• السؤال السري:إنه في الواقع شكل أضعف من المصادقة، تمامًا مثل الأشخاص المنشورين أعلاه.يمكن للمستخدم اختيار شيء بسيط حقًا ومن السهل تخمينه.أنصح بعدم القيام بذلك، لأنه لا يتطلب أي "اختراق" تقني

• البريد كلمة المرور الجديدة.للتحايل على هذا التحكم، يلزم الوصول إلى حساب البريد الإلكتروني أو مطلوب منصب Man-In-The-Middle (MITM):يمكنك إما قراءة كلمة المرور المؤقتة من البريد الوارد للمستخدم أو اعتراضها في المنتصف.وهذا الأسلوب عرضة لسوء الاستخدام، لأنه يمكن لأي شخص إعادة تعيين كلمة المرور وإجبار المستخدم على الخروج من النظام، إذا لم يتمكن من قراءة البريد الإلكتروني باستخدام كلمة المرور الجديدة.

• أرسل تجزئة إعادة تعيين كلمة المرور عبر البريد، للتحايل على ذلك، تحتاج إلى الوصول إلى البريد الوارد أو MITM، تمامًا كما في الحالة السابقة، ولكن لا تتم إعادة تعيين كلمات المرور فعليًا حتى يتم التأكيد.وبالتالي، لا يمكن إغلاق المستخدم خارج النظام، حتى لو لم يقرأ البريد الإلكتروني.أضف مؤقتًا للتبريد لإعادة التعيين مرة واحدة كل 8 ساعات لمنع نظامك من إغراق صندوق الوارد الخاص بالمستخدم.

• ضع في اعتبارك بعض الاتصالات خارج النطاق، على سبيل المثال، في العقد المطبوع، اكتب رقم التعريف الشخصي (PIN).ثم اطلب من المستخدم الاتصال بمكتب المساعدة الخاص بك من رقم هاتف معروف (تحقق من معرف المتصل) وإعطاء اسم المستخدم ورقم التعريف الشخصي الخاص به.

Answer 4

ولن يكون من السهل / ممكنا الاستعانة بمصادر خارجية لإدارة المرور بأكملها تماما كما فعل SO واستخدام معرف OpenId أو ما شابه ذلك؟ طبعا هذا من شأنه أن يضيف تبعية أخرى، ولكن كنت أن كلمات السر التجارة ضد الحاجة إلى حفظ (وآمن) والتعامل معهم كما وصفته أنت.

Answer 5

وقال أن ذلك هو HR والرواتب تطبيق على الخط. هل لديك الخيار للمستخدم مبينا انه / انها قد نسي / كلمة المرور الخاصة به والتي تولد رسالة إلى ممثل الموارد البشرية أو بعض المسؤولين في المنظمة الذين يمكن تأكيد الهوية ومن ثم إصدار إعادة تعيين كلمة المرور؟

Answer 6

وباختصار، أسئلة التحدي وغالبا ما تكون الحلقة الأضعف. انهم أسهل لتخمين من كلمة مرور والعمل بشكل فعال كبديل لكلمة السر، حتى أنها في الواقع تقليل الأمن بدلا من تعزيزه من خلال توفير ناقلات هجوم آخر وهذا يسهل في الواقع لكسر. و الويب هاكر تطبيق كتيب لديه بعض المعلومات كبيرة في هذا المجال.