Almacenar contraseñas iniciales aleatorias (una sola vez) en texto sin formato

5

Administro una aplicación de proveedor que emite cuentas (con contraseñas, por supuesto) para los usuarios finales. Por lo que puedo ver, las contraseñas de los usuarios finales se almacenan correctamente. Mi preocupación es la generación de cuenta inicial y el paso de comunicación. El primer punto de contacto con los usuarios finales a menudo no es a través de la web (es probable que sea por teléfono, correo u otros medios), por lo que la aplicación tiene muchas opciones para comunicar las credenciales de la cuenta inicial a los usuarios finales. Para facilitar esta función, la aplicación almacena la contraseña inicial en una columna de la base de datos en texto simple que puede usarse para generar cartas, paquetes de bienvenida, correo electrónico, que se muestra en la pantalla para comunicarse por teléfono, integrado con otros sistemas de software, etc.

Aquí hay un factor mitigante. El usuario final debe cambiar esta contraseña antes de poder completar su primer inicio de sesión. La contraseña modificada no se vuelve a escribir en la base de datos en texto sin formato y no se almacena en un formato recuperable. La contraseña original solo es válida durante unas semanas como máximo antes de que se cambie. Además, el usuario final no puede hacer nada con una cuenta nueva que no se pueda revertir si es necesario. Puede ser posible filtrar información personal, pero creo que una nueva cuenta no mostrará ningún dato que no se considere información de directorio.

Sin embargo, todavía me molesta que esta contraseña de texto sin formato exista en absoluto y se cuelgue incluso después de que se haya reemplazado. Dados los factores atenuantes, ¿sigue siendo esto un gran problema?

    
pregunta Joel Coehoorn 15.01.2015 - 16:19
fuente

3 respuestas

1

Yo diría, depende.

Si la creación de esta cuenta se desencadena por algún medio externo, por ejemplo, el pago o el registro para algún otro servicio, como si una persona no autorizada acceda a la nueva cuenta no utilizada en su sitio causaría una violación de seguridad, entonces Puede ser un riesgo de seguridad si la base de datos tiene fugas.

Sin embargo, si la creación de la cuenta es activada directamente por el usuario final, y la cuenta es inutilizable sin establecer una contraseña, entonces un atacante podría obtener el mismo acceso al registrarse, por lo que no crearía ningún riesgo de seguridad si una contraseña inicial filtrada.

Si realmente no desea almacenar contraseñas no cifradas en la base de datos, sugeriría conectar una impresora de red a su servicio. Si el servicio reside en un hotel web, podría instalar algún tipo de túnel o conexión entre su impresora y el servicio web, para que el servicio web pueda imprimir cualquier cosa en su impresora.

Dependiendo de la configuración de seguridad y las políticas de seguridad de su servidor o hotel web, puede hacer que su servicio web contacte su impresora a través de ipp e imprima la contraseña, o puede hacer que su servidor de impresión "encueste" la web sitio para las nuevas cuentas y las imprime.

Tan pronto como un usuario se registra, la contraseña debe distribuirse por correo postal, el servicio web lo envía inmediatamente a la impresora y luego almacena la contraseña cifrada en la base de datos. Esto significa que aún puede procesar por lotes los correos de caracol, colocándolos en sobres. Los documentos con las contraseñas y direcciones iniciales están disponibles en la bandeja de salida de la impresora en espera de ser procesados y pueden permanecer allí durante meses.

Una buena cosa con IPP es que se basa en HTTP, por lo que puede, por ejemplo, hacer un túnel IPP en un túnel SSL mediante el uso de stunnel en la puerta de enlace o el servidor de impresión, y luego en el sitio del cliente, simplemente encapsule Todo en un HTTPS solicitud en lugar de solicitud HTTP.

Esto significa que la contraseña nunca se almacenará en texto claro en ninguna parte del disco duro del servidor, solo estará disponible en texto claro en el papel, un documento que una vez enviado con correo postal, ya no estará disponible para usted o cualquier adversario entrando físicamente en tu ubicación.

    
respondido por el sebastian nielsen 15.02.2015 - 01:14
fuente
0

Donde antes tuve que lidiar con algo similar, almacené la contraseña cifrada en la base de datos y exporté todas las contraseñas de texto sin formato a un archivo csv en el momento en que se generaron. Después de esto, 7zip el archivo csv con una contraseña segura y guárdelo en un lugar seguro. El archivo csv todavía está disponible para usted en caso de que necesite usarlo para correos electrónicos, etc., pero la contraseña se almacene en la base de datos cifrada.

    
respondido por el rdans 15.01.2015 - 16:30
fuente
0

Lo ideal sería que no necesitara almacenarlo, después de la generación de correo electrónico debería poder descartarlo. No estaría tan terriblemente preocupado.

Si el correo electrónico se pierde o se elimina antes de que finalice la creación de la cuenta, simplemente puede repetir el proceso. Gen una nueva, envía el correo electrónico, descártala.

    
respondido por el Andrew Hoffman 15.01.2015 - 16:32
fuente

Lea otras preguntas en las etiquetas