inicio de sesión basado en dominio de correo

Navega tus respuestas
3

Estoy intentando crear un sistema en el que se permita o deniegue el registro en función del dominio del correo.

Supongamos que solo las personas de company.com pueden registrarse en ese sistema.

Supongamos que el administrador del sistema de company.com tiene el control total de todas las direcciones de correo que se crean.

Mi pregunta es, ¿hay algún problema de seguridad que permita a alguien que no pertenece a esa empresa registrarse en el sistema?

¿Un ataque como el envenenamiento de DNS afectará a este sistema al hacer que los correos se redirijan a otros dominios?

    
pregunta Rubico 15.06.2016 - 11:38
fuente

1 respuesta

3

Creo que sería suficiente si realmente pudieras restringir el proceso de registro a dominios específicos en la propia aplicación.

Hay tres puntos de seguridad muy importantes en los que puedo pensar a continuación

  1. En realidad, puede tener una lista de dominios permitidos para el registro y a fondo para verificar cada correo electrónico de registro en esta lista.
  2. También debe verificar el correo electrónico registrado mediante el envío de un enlace de activación con un token aleatorio único y largo (> 32 fletadores). Esta verificación debe ser obligatoria antes de permitir el acceso para evitar el abuso por parte de otros.
  3. Tienes razón sobre el DNS. El correo de activación que envíe se enviará después de realizar una búsqueda de DNS para el registro MX del dominio. Por lo tanto, debe asegurarse de utilizar servidores DNS muy seguros como DNS público de Google . Una búsqueda de DNS incorrecta puede hacer que el correo electrónico se envíe a la bandeja de entrada incorrecta.

En la respuesta mencioné los controles obligatorios que deben realizarse según su pregunta.

Puede implementar medidas de seguridad adicionales como el cifrado (HTTPS) y la autenticación de dos factores, etc., según las necesidades de su empresa.

    
respondido por el Sravan 15.06.2016 - 12:36
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los pasos clave en el modelado de amenazas como usuario que desea permanecer en el anonimato? ¿Por qué PKI usa una función hash?