enlace de restablecimiento de contraseña HMAC y ataques de repetición

Question

enlace de restablecimiento de contraseña HMAC y ataques de repetición

#1 de Alain O'Dea (2 votos)

4

Me gusta el aspecto de esta técnica para enviar enlaces de restablecimiento de contraseña:

(TLDR: no almacenar el token en la base de datos. Enviar enlace de restablecimiento de contraseña con dirección de correo electrónico, tiempo de caducidad y hmac correspondiente)

especialmente después de leer sobre el restablecimiento de Mozilla / Bugzilla error .

Aunque parece que es vulnerable a los ataques de repetición.

Q1 : ¿En qué circunstancias es vulnerable, asumiendo un buen HTTPS?

Creo que alguien que monitorea el tráfico de mi red (en un punto de acceso wifi) no podría simplemente reproducir la solicitud GET en el enlace, ¿correcto?

P2 : si solo es un ataque de repetición si un atacante tiene acceso a mi correo electrónico o acceso físico a mi computadora, no es tan vulnerable el restablecimiento de contraseña basado en token, ya que el atacante podría simplemente solicitar un nuevo enlace?

passwords password-management hmac replay-detection

pregunta Neil McGuigan 26.09.2015 - 21:49

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords password-management hmac replay-detection

Pregunta sobre la definición de alcance ISO 27001: 2013 apple.com intento de explotar?

score 2 · Accepted Answer

El mayor riesgo de los sistemas de restablecimiento de contraseñas de correo electrónico es el transporte SMTP del token de restablecimiento.

Cualquier infraestructura de correo electrónico competente utilizará webmail HTTPS (HTTP / TLS), IMAPS (IMAP / TLS) o POP3 / TLS, o un protocolo propietario como MAPI / TLS. Si no es así, obtenga otro proveedor lo antes posible.

Su visita al enlace del token de restablecimiento utiliza HTTP GET a través de TLS y lo único que el atacante puede ver es la información del nivel de conexión TCP (origen / puerto de destino / dirección).

Esto deja al atacante solo con la intercepción SMTP en Internet, en la red del remitente o en la red de su proveedor de correo. Eso no es económico para la mayoría de los atacantes a menos que sea un objetivo de alto valor como un CFO u otra persona con valioso acceso privilegiado a datos.

Si el atacante tiene acceso a su correo electrónico a través del compromiso de la cuenta, puede obtener nuevos enlaces de restablecimiento. Una ficha de dos factores mitigaría eso. Si el atacante ha comprometido su punto final, puede robar su sesión directamente. Una defensa para eso es que la aplicación bloquee las sesiones en hosts específicos.