¿Se olvidó la mejor práctica de contraseña para aplicaciones móviles?

3

Se conocen buenas prácticas para la funcionalidad de restablecimiento de contraseña de OWASP y otros recursos. Por otro lado, creo que la mayoría de nosotros estamos de acuerdo en que las preguntas de seguridad no son fáciles de usar, ya que hacen que los usuarios elijan respuestas fáciles de adivinar para preguntas como "¿cuál es tu color favorito?" o en caso de que el usuario olvide la contraseña real, lo más probable es que tampoco recuerde la pregunta de seguridad.

Así que vemos muchos sitios web que ofrecen enlaces de contraseña por correo electrónico, el inicio de sesión también se puede mejorar con la autenticación del segundo factor por correo electrónico o mensajes de texto.

Modelo de amenaza

En nuestro modelo de amenaza, supongamos que tenemos una aplicación de pago móvil, y queremos proteger al usuario en caso de que su teléfono móvil sea robado o accedido a través de actores maliciosos. Suponemos que el dispositivo móvil está roto (no hay una contraseña establecida en el dispositivo), ahora, si un atacante obtiene acceso al dispositivo, lo más probable es que también tenga acceso a la dirección de correo electrónico que está configurada en el dispositivo, por lo que puede solicitar una restablecer la contraseña en las aplicaciones instaladas y entrar en ellas, a menos que se utilicen preguntas de seguridad, pero estoy en contra de esta solución debido a los problemas mencionados anteriormente.

Mi pregunta es: primero, ¿es válido este modelo de amenaza, porque no he visto que se tome en cuenta en muchas aplicaciones de pago móvil? y, segundo, ¿qué tan difícil sería protegerlo contra este escenario de ataque y cuáles son las posibles soluciones ya que la mayoría de los canales laterales (OTP, mensaje de texto, correo electrónico) se configuran en dispositivos móviles.

    
pregunta Silverfox 29.05.2018 - 23:14
fuente

1 respuesta

0

Si el dispositivo de la víctima no está protegido con contraseña, todas las cuentas vinculadas al correo electrónico y / o número de teléfono de ese dispositivo podrían verse comprometidas. Esto se debe a un dispositivo que no estaba protegido por el usuario. El usuario de la OMI debe ser forzado a establecer algún tipo de autenticación en el dispositivo porque muchas personas pierden su dispositivo o es robado.

Es posible que las aplicaciones no tengan en cuenta este escenario porque la seguridad del dispositivo no es su responsabilidad, sino la seguridad de la aplicación, donde todo el esfuerzo va.

Pero, para compensar el error del usuario de no proteger su dispositivo, las aplicaciones móviles podrían solicitarle al usuario su huella digital u otros métodos biométricos, al restablecer la contraseña, el inicio de sesión o cualquier otra acción confidencial, además de la entrada de la contraseña real. Y debería ser obligatorio, para proteger al usuario si pierde su dispositivo. La desventaja de esto es que aún no todos los dispositivos admiten huellas dactilares.

    
respondido por el 07FwqiRQT 30.05.2018 - 00:17
fuente

Lea otras preguntas en las etiquetas