API para cambiar las contraseñas?

5

Después de que me enteré la semana pasada de que los datos de inicio de sesión de algunas de mis cuentas se filtraron , tuve que cambiar Mis contraseñas para más de 30 sitios. ¡Eso fue tedioso! Por suerte, algunos días después nos enteramos de Heartbleed. Oh, bien, ahora tendré que hacer todo esto de nuevo (y para más sitios ahora).

Luego leí la pregunta en SU: ¿Cuál es una forma eficiente de cambiar mis más de 200 contraseñas de cuenta?

Me pregunto: ¿Puede haber una manera segura de permitir que los usuarios cambien sus contraseñas para diferentes servicios de manera "automática"? (asumiendo un sitio "tradicional" que guarda el nombre de usuario y la contraseña, por lo que no hay OpenID o alternativas)

¿Sería una buena idea que los sitios ofrezcan algún tipo de API para cambiar la contraseña ? Si dicha API se estandarizara, los usuarios que usen un administrador de contraseñas podrían seleccionar todos los sitios para los que desean una nueva contraseña, y el administrador de contraseñas podría establecer una nueva contraseña creada aleatoriamente para cada uno de esos sitios.

    
pregunta unor 11.04.2014 - 20:03
fuente

1 respuesta

3

Acabas de responder a tu pregunta.

¿Puede haber una manera segura de permitir que los usuarios cambien "automáticamente" sus contraseñas para diferentes servicios? Si ...

Una API abierta estándar para permitir a un usuario cambiar la contraseña de un sitio web es posible y digo que es una idea decente.

De nuevo, es posible una API abierta estándar para permitir que un usuario inicie sesión en un sitio web y digo que es una buena idea. Pero, sorprendentemente, el proceso de inicio de sesión en el sitio web se está volviendo menos, no más estandarizado; esta función básica de un administrador de contraseñas es cada vez más difícil, no fácil.

Consideraciones de seguridad: Bueno, hace que sea más fácil para un usuario malintencionado causar una gran cantidad de problemas al cambiar muchas de las contraseñas de un usuario a la vez. Restablecer las contraseñas será tan lento como siempre. Sin embargo, es raro que los usuarios maliciosos cambien una gran cantidad de contraseñas de un usuario, incluso cuando tienen la capacidad.

El cambiador de contraseñas también podría tener sus propios defectos de seguridad, por ejemplo, podría elegir contraseñas no aleatorias, y las implementaciones de la API podrían tener defectos de seguridad.

Por otro lado, es relativamente común que las contraseñas se vean comprometidas de manera que se puedan mejorar con cambios de contraseña más frecuentes.

Por lo tanto, diría (sin duda alguna) que la desventaja probablemente no sea mayor que la positiva.

Creo que una mejor idea sería estandarizar y evangelizar una API gratuita y abierta basada en la SRP Protocolo de (Contraseña remota segura) , o algo parecido. Con SRP, un intruso o un hombre en el medio no puede hacer muchas conjeturas de fuerza bruta, por lo que se puede obtener una seguridad sólida utilizando contraseñas relativamente cortas / simples. Además, el servidor no almacena datos equivalentes a contraseñas. Esto significa que un atacante que roba los datos del servidor no puede hacerse pasar por el cliente. Y si no me equivoco, significa que hay menos problemas cuando los usuarios usan la misma contraseña en varios sitios web.

ACTUALIZACIÓN : Mientras tanto, hay Función de cambio automático de contraseña de LastPass .

    
respondido por el Matthew Elvey 17.04.2014 - 04:21
fuente

Lea otras preguntas en las etiquetas