¿Qué tan seguro es un correo electrónico de activación?

Navega tus respuestas
2

¿Existe algún riesgo para un correo electrónico de activación?

Mi sitio ASP.NET está configurado para que un usuario tenga que revisar su correo electrónico y hacer clic en un enlace de activación que se compone de un GUID creado como su ID de usuario en las Tablas de membresía de SQL.

Hay una aplicación de terceros que contiene un correo electrónico, un número de identificación de 4 dígitos no tan secreto para cada usuario potencial, por lo que el usuario debe usar este correo electrónico e identificación juntos para registrar una cuenta, la cuenta no está "aprobada" "hasta que activen su cuenta mediante el enlace en el correo electrónico enviado a este correo electrónico. solo los empleados pueden configurar el correo electrónico y la identificación en la aplicación de terceros.

Este sitio gestiona la suscripción a una suscripción por correo electrónico de información semi-privilegiada, este sitio no controla el envío por correo electrónico de la información semi-privilegiada.

Aparte de la ingeniería social, ¿cuál es el riesgo asociado con esta configuración para el registro de usuarios?

    
pregunta Malachi 19.12.2014 - 20:46
fuente

3 respuestas

2

No es suficiente usar solo su nombre de usuario para generar el GUID, ¿qué le parece agregarle una marca de tiempo?

Debe haber un límite de tiempo para que el usuario tenga que hacer clic en el enlace. El enlace también debe caducar luego de la activación de la cuenta, especialmente si se requiere que establezca una contraseña al activarse la cuenta.

¿Qué sucede si puedo obtener el enlace de activación? ¿El código de cuatro dígitos está protegido por algún tipo de límite de velocidad? Esto para evitar que las 10000 solicitudes adivinen la ID de cuatro dígitos.

    
respondido por el Jeroen - IT Nerdbox 19.12.2014 - 21:47
fuente
2

El problema principal es que el correo electrónico no es un mecanismo de distribución seguro y es potencialmente susceptible de interceptación. Desafortunadamente, a menudo es lo mejor que tenemos disponible para intentar validar si un usuario tiene acceso al buzón de correo electrónico, pero no se debe confiar exclusivamente en él.

Muchos servidores de correo electrónico no intentan proteger el contenido de un correo electrónico en tránsito y cualquier computadora o enrutador en la ruta del correo electrónico puede leer los mensajes. Cualquier persona con acceso a esa ruta, ya sea a través de un ISP o un virus en la computadora de los usuarios, podría acceder al contenido del correo electrónico.

Además, a menos que el correo electrónico vaya a un sitio web seguro SSL, un atacante podría falsificar la página e interceptar el GUID en el camino de regreso a su servidor también.

Lo más probable es que el usuario sea la persona que realmente posee la dirección de correo electrónico, pero no tiene garantías de ello.

    
respondido por el AJ Henderson 19.12.2014 - 22:18
fuente
2

"Qué tan seguro es X" siempre es una pregunta vaga. Para poder brindarle una mejor respuesta, debemos comprender el valor de lo que intenta proteger y su modelo de amenaza.

¿Está intentando proteger un sitio bancario o de compras, donde las personas pueden almacenar tarjetas de crédito para futuras compras? Habrá determinado ladrones como no puede imaginar, y esto no es suficiente. Es probable que tenga más problemas de seguridad que los pocos párrafos de consejos que recibirá aquí.

¿Está tratando de proteger un sitio de compras, donde las personas pueden navegar, configurar listas de deseos, llenar carritos de compras y escribir reseñas; ¿Pero no pagas en tu sitio? ¿Qué crees que los hackers pueden encontrar valiosos? ¿Podrían reencaminar las compras a otro lugar donde serían robados? Puede estar bien, pero debería pensar en incorporar otro factor, como una pregunta de seguridad, un mensaje SMS, que requiera una visita física a un cajero, etc.

¿Estás tratando de proteger la sección de comentarios de tu blog y tu principal preocupación es un ejército de pitufos que publica enlaces llenos de spam? Debería ser adecuado.

¿Estás publicando una galería privada de fotos para amigos y familiares? Probablemente sea una exageración.

Piense en sus amenazas y vulnerabilidades percibidas, en términos de atacantes y sus motivaciones. Luego vuelva aquí y aclare un poco más la declaración de su problema y mejore su pregunta. Si aún no ha descubierto la respuesta por su cuenta, seguiremos aquí.

    
respondido por el John Deters 19.12.2014 - 22:43
fuente

Lea otras preguntas en las etiquetas

Sistemas paralelos, en caso de que alguno de los dos tenga exploits conocidos ¿Cómo selecciono y uso correctamente un cifrado de bloque simétrico moderno?