mensaje de texto para restablecer la contraseña en lugar de un código

Question

mensaje de texto para restablecer la contraseña en lugar de un código

#1 de Matthew (3 votos)

5

Un proceso cada vez más común para ayudar con el restablecimiento de contraseñas es que la aplicación envíe un código / token al teléfono móvil verificado por el usuario.

Tenemos un cliente que desea eliminar la necesidad de que el usuario recuerde el código y, en su lugar, envíe un enlace bitly a través de SMS donde el código / token esté incrustado en el enlace bitly. De esta manera, el usuario puede simplemente tocar el enlace en el mensaje SMS, que iniciará su navegador móvil y podrá continuar con el restablecimiento de la contraseña, posiblemente con una verificación adicional con una pregunta de seguridad u otro punto de datos de PII.

¿Existe alguna razón por la cual el proceso anterior no esté siendo utilizado por usuarios como Facebook y Google y en su lugar, continúan simplemente enviando el código por SMS? Parece, al menos en la superficie, simplemente agregar un paso innecesario de memorización para que el usuario final transfiera el código de SMS al navegador móvil.

passwords sms

pregunta Fred 21.04.2016 - 18:16

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords sms

¿Después de un bufferoverflow, un atacante solo tiene acceso a las llamadas que están presentes en la biblioteca donde se compiló el código C? CSRF en la página de inicio de sesión

score 3 · Answer 1

Puedo pensar en un par de fallas con ese plan:

No funciona si los usuarios que usan un dispositivo diferente realizan el restablecimiento de la contraseña por alguna razón, como no usar un teléfono inteligente. Para Facebook y Google, no es raro que los usuarios cambien sus contraseñas con una computadora, sino que reciban un código de validación por móvil.
Potencialmente aumenta el riesgo de ataques de phishing, al alentar a los usuarios a seguir URLs acortadas que afirman ser de un proveedor de servicios. El uso de bitly se suma a esto, ya que no es fácil ver la URL a la que se dirige el enlace.

Sin embargo, para una aplicación móvil, es una premisa errónea, ya que SMS no es un segundo factor en este caso (¡un atacante con el teléfono tiene acceso al mensaje SMS)! Algunos proveedores tienen esto en cuenta y requieren que los cambios de contraseña se realicen a través del sitio web, incluso cuando tienen una aplicación, en un esfuerzo por garantizar que la persona que intenta cambiar la contraseña conozca la contraseña existente (lo que requiere que se ingrese) por supuesto, los cambios de contraseña también funcionarán, por supuesto).