パスワードを忘れた場合、チャレンジレスポンスアプローチが不十分なソリューションであるのはなぜですか?
https://stackoverflow.com/questions/613619
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
私の会社は、安全なアクセスが重要なオンラインHRおよび給与計算アプリケーションを開発しています。 「パスワードを忘れた」ページを除き、ほとんどの認証/承認プロセスをロックダウンする方法は明確です。
最初の計画では、ユーザーに電子メールアドレスと、以前に選択/入力したチャレンジ質問への回答の両方を入力するよう要求し、一時的なパスワードをリストされた電子メールに送信しました(電子メールは有効)。しかし、私はこことここ(両方ともSO)チャレンジ/レスポンスアプローチは安全ではありません。
仮パスワードのみをメールで送信している場合、本当に安全ではないでしょうか?私が考えることができる唯一のより安全なオプションは、ユーザーにカスタマーサービス担当者に電話することを要求することです。これは従業員に大きな負担をかけることになります。
何が欠けているのか...より良いアプローチはありますか?ありがとう!
解決
一時パスワードをメールで送信せずに、パスワードとパスワードのリセットページへのトークンをユーザーにメールで送信します。これにより、パスワードが暗号化されずに変更されることはありません。また、エンドユーザーは、そのページにアクセスしようとしてリセットトークンが既に使用されている場合、アカウントが侵害されていることもすぐにわかります。
コメントから追加:
チャレンジ/レスポンス(「秘密の質問」)の側面は、実際には物事の安全性を低下させると思います。なぜなら、それらは一般にターゲットに関する公開情報を調査することで発見できるものだからです。合計ステップが少ないほど、誰も知らないうちに壊れる可能性が少なくなります。リセットメールを早めに送信することは、試行が行われていることを人間に知らせる良い方法です。
他のヒント
この記事で説明されているとおり、パリン知事の電子メールアカウントは最近、以前の質問に対する回答を使用してハッキングされました。記事から:
投稿で詳しく説明したように、Palinのハックは実際のスキルを必要としませんでした。代わりに、ハッカーは生年月日、郵便番号、および彼女の配偶者に会った場所に関する情報を使用して、Palinのパスワードをリセットします-簡単なGoogle検索で答えられた(Wasilla High)Yahooアカウントのセキュリティ質問。
失われたパスワードを管理するいくつかの一般的な方法があります:
-
秘密の質問:実際には、上記の人々が投稿したように、より弱い形式の認証です。ユーザーは本当にシンプルなものを選択でき、推測するのは簡単です。技術的な「ハッキング」を必要としないため、これに反対します。
-
新しいパスワードをメールで送信します。この制御を回避するには、電子メールアカウントへのアクセスが必要であるか、中間者(MITM)ポジションが必要です。ユーザーの受信ボックスから一時パスワードを読み取るか、途中で傍受します。誰でもパスワードをリセットし、新しいパスワードで電子メールを読むことができない場合、ユーザーをシステムから強制的に追い出すことができるので、このアプローチは誤用の機が熟しています。
-
これを回避するために、パスワードリセットハッシュをメールで送信するには、受信ボックスまたはMITMにアクセスする必要があります。これは前の場合と同じですが、確認が完了するまでパスワードは実際にはリセットされません。したがって、ユーザーが電子メールを読まなくても、システムからロックアウトすることはできません。システムがユーザーの受信ボックスをあふれさせないように、8時間ごとに1つのリセットにクールダウンタイマーを追加します。
-
たとえば、印刷された契約書で、PINを書き留めて、帯域外通信を検討します。次に、ユーザーに既知の電話番号からヘルプデスクに電話をかけ(発信者番号を確認)、ユーザー名とPINを入力します。
SOのようにパスワード管理全体を外部委託し、OpenIdなどを使用するのは簡単/実行可能ではありませんか?もちろん、これにより別の依存関係が追加されますが、パスワードを保存(および保護)し、説明したとおりに処理する必要性と引き換えになります。
あなたはそれがオンラインの人事および給与計算アプリケーションであると言いました。ユーザーがパスワードを忘れたことを示し、人事担当者または組織内のIDを確認してパスワードリセットを発行できる担当者にメッセージを生成することを示すオプションがありますか?
要するに、チャレンジ質問はしばしば最も弱いリンクです。パスワードよりも推測が容易であり、パスワードのプロキシとして効果的に動作するため、実際に破られやすい別の攻撃ベクトルを提供することにより、セキュリティを強化するのではなく、実際にセキュリティを低下させます。 Web Application Hacker's Handbook には、この領域に関する優れた情報が記載されています。
