¿El proceso de BSI es bueno? (Informando a los propietarios de las direcciones de correo electrónico que su dirección / contraseña (de cuentas desconocidas / diferentes) fue robada)

Navega tus respuestas
3

La BSI (Oficina Federal para la Seguridad de la Información) en alemán claims para obtener una lista de 18 millones de direcciones de correo electrónico y contraseñas: se supone que es el resultado de la identidad de Theft.

Permiten verificar si su propia dirección de correo electrónico forma parte de esta lista (o de una más antigua), que funciona así:

  1. Ingrese una dirección de correo electrónico en enlace
  2. Después del envío, muestran un código de cuatro dígitos.
  3. Si la dirección de correo electrónico ingresada NO forma parte de la lista: no pasa nada.
  4. Si la dirección de correo electrónico ingresada es parte de la lista: BSI envía un correo electrónico a la dirección ingresada, que
    • está firmado con su clave OpenPGP, y
    • contiene el código de cuatro dígitos en la línea de asunto.
    • (El correo no contiene la contraseña).

La firma OpenPGP y el código en el asunto aseguran que el correo electrónico realmente proviene de BSI (los phishers ya envían correos electrónicos con el nombre de BSI).

Pero además de eso, ¿es este proceso realmente una buena práctica?

Por lo que puedo ver, tiene dos problemas:

  • No se sabe si la lista contiene inicios de sesión para proveedores de correo electrónico o para otros sitios (tiendas, etc.). Pero si estos serían inicios de sesión para las cuentas de correo electrónico (o si la gente usa la misma contraseña allí), los ladrones podrían controlar la cuenta de correo electrónico y filtrar cualquier correo electrónico proveniente de BSI, ¿verdad? Por lo tanto, estas personas nunca notarán que sus datos están contenidos en la lista de BSI.
    • Por lo tanto, las personas que no reciben un correo electrónico no pueden estar seguros de si sus datos no están en la lista o si el correo fue interceptado (a menos que cambien su contraseña antes de ingresar su dirección de correo electrónico en la prueba).
  • Y como no envían la contraseña contenida en la lista, los usuarios (que usan contraseñas únicas para cada sitio) no pueden saber cuáles de sus cuentas se ven afectadas (→ muchos sitios usan la dirección de correo electrónico como nombre de usuario).
    • Para que las personas tengan que cambiar sus contraseñas en los sitios todos usando su dirección de correo electrónico como nombre de usuario.

Estoy en lo cierto? ¿O hay buenas razones por las que lo manejan así?

¿Se podría mejorar el proceso? ¿Existen prácticas recomendadas para este tipo de situaciones en las que participan datos de muchos servicios diferentes (y no solo de un único proveedor)?

    
pregunta unor 07.04.2014 - 18:57
fuente

1 respuesta

1

Creo que esto es una cuestión de grado. La lista ayudará a muchas personas, pero tal vez no a todos. Sin embargo, si alguien ya tiene el control de su correo electrónico, tiene problemas más grandes de todos modos.

Es mejor que no poder averiguarlo en absoluto, ya que al menos la mayoría de la gente podrá descubrir y cambiar sus detalles si es necesario.

La única mejora que se me ocurre es tener primero una confirmación previa. Usted ingresa su dirección, el sistema le envía un correo electrónico con un código que no ha visto. Usted ingresa el código y eso confirma que tiene algún nivel de control de su dirección de correo electrónico. Entonces envía la información. Cualquier cuenta pirateada necesitaría un monitoreo y filtrado más sofisticados para dejar pasar el primer correo electrónico, pero no el segundo. Apenas vale la pena para que alguien lo haga.

    
respondido por el Julian Knight 19.05.2014 - 17:52
fuente

Lea otras preguntas en las etiquetas

Cómo minimizar el riesgo de seguridad al tener que trabajar con contraseñas desencriptadas (texto sin formato) debido al diseño de API de terceros Descifrar contraseñas basándose en el uso de la contraseña de un usuario