enlace de restablecimiento de contraseña HMAC y ataques de repetición

4

Me gusta el aspecto de esta técnica para enviar enlaces de restablecimiento de contraseña:

enlace

(TLDR: no almacenar el token en la base de datos. Enviar enlace de restablecimiento de contraseña con dirección de correo electrónico, tiempo de caducidad y hmac correspondiente)

especialmente después de leer sobre el restablecimiento de Mozilla / Bugzilla error .

Aunque parece que es vulnerable a los ataques de repetición.

Q1 : ¿En qué circunstancias es vulnerable, asumiendo un buen HTTPS?

Creo que alguien que monitorea el tráfico de mi red (en un punto de acceso wifi) no podría simplemente reproducir la solicitud GET en el enlace, ¿correcto?

P2 : si solo es un ataque de repetición si un atacante tiene acceso a mi correo electrónico o acceso físico a mi computadora, no es tan vulnerable el restablecimiento de contraseña basado en token, ya que el atacante podría simplemente solicitar un nuevo enlace?

    
pregunta Neil McGuigan 26.09.2015 - 21:49
fuente

1 respuesta

2

El mayor riesgo de los sistemas de restablecimiento de contraseñas de correo electrónico es el transporte SMTP del token de restablecimiento.

Cualquier infraestructura de correo electrónico competente utilizará webmail HTTPS (HTTP / TLS), IMAPS (IMAP / TLS) o POP3 / TLS, o un protocolo propietario como MAPI / TLS. Si no es así, obtenga otro proveedor lo antes posible.

Su visita al enlace del token de restablecimiento utiliza HTTP GET a través de TLS y lo único que el atacante puede ver es la información del nivel de conexión TCP (origen / puerto de destino / dirección).

Esto deja al atacante solo con la intercepción SMTP en Internet, en la red del remitente o en la red de su proveedor de correo. Eso no es económico para la mayoría de los atacantes a menos que sea un objetivo de alto valor como un CFO u otra persona con valioso acceso privilegiado a datos.

Si el atacante tiene acceso a su correo electrónico a través del compromiso de la cuenta, puede obtener nuevos enlaces de restablecimiento. Una ficha de dos factores mitigaría eso. Si el atacante ha comprometido su punto final, puede robar su sesión directamente. Una defensa para eso es que la aplicación bloquee las sesiones en hosts específicos.

    
respondido por el Alain O'Dea 26.09.2015 - 22:09
fuente

Lea otras preguntas en las etiquetas