Duo Security olvidó el flujo de trabajo de la contraseña

3

Estoy actualizando el flujo de trabajo de contraseña olvidada de mi empresa. Actualmente utilizamos Duo Security como nuestro segundo factor en el inicio de sesión (pero para los fines de mi pregunta, este puede ser un servicio de este tipo). He estado recorriendo las mejores prácticas de Owasp y tienen sentido.

Mi confusión viene con lo que veo que otros sitios implementan, se olvidó del flujo de trabajo de contraseña. Tiendo a ver canales laterales como SMS / correo electrónico que se usan para enviar tokens de una sola vez con preguntas de seguridad y otras cosas, incluso si usan un servicio como Duo. Nunca veo, por ejemplo, que un sitio haga una notificación de envío DUO junto con una pregunta de seguridad (u otro elemento 'lo que sabe').

¿Me estoy perdiendo algo obvio?

    
pregunta user3140924 05.06.2018 - 22:41
fuente

1 respuesta

2

Los ataques que mencionas son problemas reales para el modelo de amenaza.

Me gusta pensar que el correo electrónico es la clave maestra de la mayoría de las cuentas en línea. SMS es posiblemente mejor, pero un riesgo similar. Te permiten omitir la contraseña para iniciar sesión. Si puedo acceder a su correo electrónico, entonces puedo acceder a la mayoría de sus cuentas.

Los sitios que admiten MFA o 2factor aún deben solicitar su segundo factor después de un restablecimiento de pw. Si no lo hacen, entonces solo están comprobando un único factor: que el usuario puede acceder a la cuenta de correo electrónico asociada.

Si has visto esto, es una vulnerabilidad en la aplicación web y puedes informar el flujo vulnerable al webmaster.

    
respondido por el Jonathan 05.06.2018 - 23:34
fuente

Lea otras preguntas en las etiquetas