¿Este procedimiento de "contraseña olvidada" es seguro / legal?

Navega tus respuestas
3

Recientemente, perdí mi contraseña en una aplicación web que se supone que es realmente segura (piense en una aplicación web tipo banco o gobierno). Esta aplicación web contiene una gran cantidad de información personal crítica (como SSN y salario, pero legalmente).

Aquí está el procedimiento que tenía que seguir:

  • Intenté responder a mi pregunta secreta, pero no recordé la respuesta
  • Envié un mensaje al Servicio de Atención al Cliente como se me indicó. Se creó un "ticket", con un número.
  • Una dirección de correo electrónico genérica, no segura (sin firma, etc.) me pidió que respondiera el correo electrónico con un escaneo de mi ID (anverso y reverso). Lo único que me hizo confiar en este correo electrónico es que contenía el número de mi boleto.
  • Respondí, así que tuve que escribir mi correo electrónico a una dirección como "[email protected]", con el número del boleto y el escaneo de mi identificación.
  • Luego, me enviaron la respuesta a mi pregunta secreta, por lo que la almacenaron en texto sin formato
  • Respondí mi pregunta secreta, que generó un enlace que me enviaron por correo electrónico para elegir una nueva contraseña

Dos cosas me advierten aquí, pero no estoy seguro de que sea tan malo:

  • Tuve que enviar un escaneo de mi identificación, por delante y por detrás, a una dirección de correo electrónico no confiable potencialmente accesible por gran parte del personal de la compañía.
  • La respuesta de mi pregunta secreta se almacena en texto plano (o equivalente), para que cualquiera que acceda a la base de datos pueda verla, pero para usarla debe acceder a mi cuenta de correo electrónico.

Estoy en Europa, por lo que puede cambiar algunas cosas, legalmente.

ACTUALIZACIÓN PARA LA ACLARACIÓN:

Mis preguntas son:

  • ¿Puede un atacante hacer algo mal con mi respuesta secreta si tiene acceso a ella?
  • ¿Está bien, la seguridad de la información y la legal, para solicitar una identificación en una no segura (sin cifrado o cualquier otra cosa), no confiable (sin firma) y genérica (potencialmente, todos en la empresa de la aplicación web pueden acceder a ella) ) dirección de correo electrónico?
pregunta LP154 14.09.2018 - 12:10
fuente

1 respuesta

4

Primero, las preguntas sobre legalidad deben dirigirse al enlace . En cuanto al resto, vamos a dividirlo en seguridad de pregunta secreta y seguridad de identificación:

Preguntas secretas

El uso de preguntas secretas en absoluto para la recuperación de la cuenta ha sido básicamente un paso de seguridad "obsoleto" durante bastante tiempo. Mi ejemplo de por qué esto es una mala idea es el pirateo de la cuenta de correo electrónico de Sarah Palin durante las elecciones presidenciales de 2008 en Estados Unidos. La persona que accedió a su correo electrónico lo hizo utilizando la función de restablecimiento de contraseña en yahoo, lo que pudo hacer porque usaron preguntas secretas y todas sus preguntas / respuestas se basaron en información pública disponible sobre su vida.

Como sugerencia general, cada vez que me encuentro con un sitio que utiliza preguntas de seguridad, en realidad no respondo ninguna de las preguntas. En cambio, genero una cadena aleatoria larga (que almaceno en un administrador de contraseñas o lo que no) y la uso para la respuesta. Debido a que las preguntas de seguridad se basan en información personal, son un factor de riesgo principalmente para ataques dirigidos (también conocido como Sarah Palin). Como resultado, usar una cadena aleatoria como respuesta a una pregunta de seguridad significa que incluso si alguien conoce el segundo nombre de su maestro de segundo grado, no podrá ingresar a su cuenta bancaria (porque en realidad no respondió). la pregunta que hicieron). Entonces, haga lo que haga, si un sitio utiliza preguntas de seguridad, trátelas como una contraseña y proporcione una cadena aleatoria larga. También tenga en cuenta que quienquiera que configure el sitio no está haciendo bien la seguridad.

Sin embargo, en la pregunta real: "¿Es esto seguro?". Seguro es un término sin sentido en el mundo de la seguridad. Nada es seguro. Sólo es siempre "lo suficientemente seguro para mis propósitos". Desde esa perspectiva, probablemente no me preocuparía demasiado también si estuvieran almacenando sus respuestas en texto sin formato. La respuesta a un par de preguntas de seguridad probablemente no ayude mucho a un atacante, ya que en la actualidad pocos sitios las usan y las preguntas varían de un sitio a otro. Como resultado, incluso si alguien obtuvo una respuesta a una pregunta de seguridad suya en un sitio que usa, no puede simplemente obtener acceso a otras cuentas suyas como lo haría si hubieran encontrado la única contraseña que usó en todos lados. Sin embargo, ahora podría ser el momento de buscar todas sus cuentas en sistemas que tengan preguntas de seguridad y reemplazarlas por errores en lugar de respuestas reales (o simplemente eliminar su cuenta ya que estas personas no saben lo que están haciendo).

Identificación del correo electrónico

Creo que tú mismo sabes bastante la respuesta a esta pregunta, pero solo para decirlo en voz alta: el envío de información confidencial (PI) a través de un canal inseguro es definitivamente una mala idea. En este caso, aunque tiene la ventaja de al menos informarle que tienen malas prácticas de seguridad. Utilicé un sistema una vez que me exigía tomar una fotografía de mi ID utilizando la cámara web de mi computadora a través de una conexión HTTPS segura. Suena bien, por supuesto (o al menos, ese es el mínimo requerido para hacerlo bien). Por lo que sé, a pesar de que almacenaron imágenes de mi ID en un cubo público de AWS S3 que luego encontrarán los piratas informáticos y luego se difundirán en las noticias ( y sucede cada dos días ).

Me doy cuenta de que eso no es un gran consuelo, pero como es bastante obvio que enviar tu información personal a través de canales no cifrados es una idea terrible, creo que podría intentar encontrar buenas noticias. Al menos ahora sabe que su seguridad es terrible, y puede tomar medidas en consecuencia: genere y use una contraseña única y larga para este sitio, cambie las respuestas a sus preguntas de seguridad para que sean cadenas aleatorias largas, almacene poca información en su sistema como puede salirse con la suya, y quejarse en voz alta a quien sea que pueda sobre la mala utilización y el almacenamiento de sus datos. Si también puedes confirmar que están almacenando tus datos ilegalmente, entonces tienes un montón de personas de las que puedes quejarte, por lo que tal vez se pueda hacer algo al respecto (pero no me quedaría sin aliento).

    
respondido por el Conor Mancone 14.09.2018 - 15:46
fuente

Lea otras preguntas en las etiquetas

Peligros de distribuir un archivo ssl.pem ¿Agregar un San (nombre alternativo del sujeto) a un certificado ya existente?