¿Cuántos inicios de sesión de Stack Exchange debería tener?

Si alguien compromete su cuenta de StackExchange, ¿no pueden simplemente desvincular todas sus opciones de recuperación? Suponiendo que no puedan, el modelo es que:

• La pérdida de cualquiera de las cuentas vinculadas a SE es un "compromiso".
• Si alguna de las otras cuentas vinculadas a SE no se pierde, puede "recuperar".

En este modelo, 2 parece razonable según su propio análisis:

• 0 no es bueno, no puedes iniciar sesión en SE en absoluto ;-)
• 1 no es bueno, tiene no posibilidades de recuperación después de un compromiso.
• 2 es el menor número de cuentas con posibilidad de recuperación distinta de cero. Siempre que perder uno no comprometa al otro , entonces, de hecho, le da una buena oportunidad de recuperación, ya que perder cuentas es poco frecuente y perder dos en rápida sucesión es muy raro.
• Las cuentas adicionales aumentan la posibilidad de compromiso, y la probabilidad adicional de recuperación debe disminuir rápidamente porque la probabilidad de recuperación ya es buena.

Como dije, sin embargo, no estoy seguro del modelo. Nunca he intentado desvincular algo de mi cuenta de SE.

El proporcionado es bastante grande. Si su cuenta de Gmail también es la opción de recuperación para su Facebook, perder su cuenta de Gmail significa que tiene una buena oportunidad de perder también Facebook. Por lo tanto, agregar Facebook a StackExchange tendría un efecto menos dramático en su posibilidad de recuperación luego de un compromiso a través de Gmail.

Agregar inicios de sesión significa agregar métodos alternativos para acceder a su cuenta; Consulte esta página para obtener más información.

Por lo tanto, los inicios de sesión adicionales no pueden reducir el riesgo de un secuestro hostil; de hecho, solo pueden aumentar el riesgo, ya que proporcionan rutas de entrada adicionales para el atacante. Si tiene varios inicios de sesión, su "nivel de seguridad", formalmente, no es más que el proporcionado por los sistemas de autenticación involucrados más débiles.

Los inicios de sesión adicionales están diseñados para evitar que se bloqueen si un proveedor de autenticación falla (por ejemplo, deja de funcionar). Esto se puede ver como "seguridad" adicional, no contra atacantes, sino contra desastres.

En pocas palabras, los inicios de sesión adicionales tendrían 2 efectos:

• Aumenta el riesgo de ataques y compromiso con la cuenta

pero por otro lado,

• Reduce el impacto de un ataque exitoso al limitar el perímetro de los datos accedidos.

Entonces, depende de usted decidir en función del riesgo que acepte y el saldo que desee en términos de facilidad de uso y seguridad.

Antes de dirigirse al "pirata informático que obtiene acceso a mi cuenta de Stack Exchange" mediante la autenticación de terceros, ¿no debería estar abordando la seguridad de su proveedor de OpenID / OAuth de terceros? Regístrese para la autenticación de dos factores.

Mi recomendación es:

1, basado en el sistema de inicio de sesión de Stack Exchange. No hay absolutamente ninguna buena razón para reticular los sistemas.

o

1, basado en algún centro de identidad compartido de confianza, si ya está utilizando un centro distinto al del sistema de Stack Exchange. Suponiendo que haya encontrado un sistema de inicio de sesión único en el que confíe. Todavía no he visto uno en la red pública que considero que vale la pena usar.

La gran preocupación no es perder tanto el acceso a su identidad de Stack Exchange (si eso sucede, comienza de nuevo con un nuevo nombre de usuario y necesitas trabajar un poco con SE para cerrar la ID antigua y eliminar las publicaciones abusivas) eso se hizo en su nombre si alguien más tuvo acceso a él; en el peor de los casos es una molestia) ya que alguien que ingresa en SE podría tener acceso a sus cuentas en cualquier otro lugar.