Ejemplo de aplicación que no requiere una "autenticación fuerte"

Navega tus respuestas
2

¿Alguien tiene algún ejemplo de aplicaciones de la vida real que no requiera una "autenticación fuerte"? Estoy buscando específicamente publicaciones de blog o incluso artículos científicos que argumenten que no se requiere una "autenticación sólida" para todas las aplicaciones ... a veces, es necesario autenticar a los usuarios utilizando solo direcciones IP, por ejemplo, pero cualquier otra cosa sería innecesaria. ..

EDIT : Ok, creo que necesito explicarme un poco más. Estoy buscando un argumento de un desarrollador o un propietario de una empresa o un científico (una declaración oficial, por ejemplo, un artículo científico, o semioficial, por ejemplo, una publicación de blog) que defiende a por Una autenticación "no fuerte". La idea del propietario de empresa es lo más importante (que estoy buscando). Por ejemplo, el ejemplo de @Florin Coada es genial, pero sería mejor ver la visión de Apple sobre el tema. Intenté googlear durante días, pero las palabras clave que estoy usando traen resultados completamente irrelevantes.

EDIT 2 : las respuestas son asombrosas, y tal vez debería extender la pregunta un poco (por última vez). ¿Habría algún tipo de aplicación en la que el riesgo de "violación de la seguridad" sea alto, como la violación de la privacidad de los usuarios de su servicio (por "usuarios avanzados" como programadores expertos), sin embargo, usted elige hacer una "autenticación débil"? / p>     

pregunta FearUs 26.08.2014 - 22:41
fuente

3 respuestas

3

Existen protecciones para combatir los riesgos. Si los riesgos son bajos, entonces las protecciones pueden ser bajas.

Piensa en un sitio de foro. Puede que no haya ninguna razón para que el sitio use "protección fuerte", porque todo lo que realmente quiere hacer es poder identificar quién está contribuyendo. Se podría determinar que el sitio necesita protecciones muy débiles en ese caso.

La respuesta a su pregunta está en el análisis de riesgo. Proporcione las protecciones adecuadas para combatir los riesgos que identifique.

Editar aclaración de la publicación:

La perspectiva del propietario del negocio se basa en un cálculo de riesgo. ¿Cuáles son los riesgos si alguien se identifica erróneamente, cuáles son los costos si se realiza ese riesgo y cuál es el costo de implementar protecciones más fuertes para reducir ese riesgo? Si los costos a reducir son mayores que el costo de un riesgo realizado, entonces no es rentable, desde un punto de vista comercial, introducir las protecciones más fuertes.

ISO 27005 proporciona este marco de gestión de riesgos.

    
respondido por el schroeder 27.08.2014 - 00:17
fuente
2

Lo que estás describiendo suena un poco como el descuento para estudiantes de Apple. Para comprar algo con un descuento para estudiantes, debe iniciar sesión desde la red de su universidad.

Editar:
La razón para que hagan esto es que no quieren que esté disponible para todos (capitán obvio para el rescate).  
Creo que usaron la red universitaria para identificar a las personas porque generalmente las personas necesitan iniciar sesión en esas redes.
Esto significaría que al estar en la red de la universidad, iniciarán sesión con sus credenciales de estudiante de esa universidad. Esto los haría estudiantes (y otros) en esa universidad, por lo tanto elegibles para el descuento.

Lo importante a tener en cuenta aquí es que hay otro nivel de autenticación antes de la autenticación IP realizada por Apple.
Fin de edición

Esta publicación aquí: enlace describe brevemente esto y también explica cómo logró eludir esa autenticación.

Probablemente porque se dieron cuenta de lo fácil que es para las personas obtener un descuento del 15%, han optado por algo llamado unidays. No tengo idea de cómo funciona eso, pero este es un ejemplo de lo que estaba preguntando.

    
respondido por el sir_k 27.08.2014 - 01:31
fuente
2

He leído tu aclaración. Es posible que encuentre un argumento convincente en el siguiente documento:

  

En general, cuando la parte que está en posición de proteger un sistema   No es la parte que sufriría los resultados de un fallo de seguridad, entonces   Se pueden esperar problemas. [1]

I.e. El argumento "no hay necesidad de invertir en seguridad para nosotros". Incluso podría llevar este argumento más lejos a "hay una ventaja para nosotros, no usar una autenticación fuerte". La facilidad de uso para el usuario final, por lo que terminará con más usuarios, podría ser un ejemplo de eso.

[1] Anderson, Ross. "Por qué la seguridad de la información es una perspectiva económica difícil". Conferencia de Aplicaciones de Seguridad Informática, 2001. ACSAC 2001. Proceedes 17th Annual. IEEE, 2001.

    
respondido por el RedPixel 27.08.2014 - 11:27
fuente

Lea otras preguntas en las etiquetas

¿Cómo debo verificar que no se haya manipulado una copia de seguridad? ¿Las frases de contraseña deben ejecutarse a través de PBKDF2? ¿Casi imposible la fuerza bruta?