¿Contraseña de uso único como método de autenticación predeterminado?

2

Los requisitos de la contraseña loca ( joke1 , joke2 ) me lleva a una situación en la que no tengo forma de memorizar las contraseñas de los diversos sitios que cumplen esos requisitos.

El resultado es que cada visita a esos sitios es un ejercicio de recuperación de contraseña (haga clic en el enlace de recuperación de contraseña, responda una pregunta personal, reciba un mensaje de texto con un código o un correo electrónico con un enlace, ingrese el código / visite el enlace, invente una contraseña que nunca volveré a usar , finalmente acceda al sitio).

Mi pregunta es: ¿por qué no podemos omitir la etapa inventar una contraseña que nunca volveré a usar ?

Correo electrónico

Otra pregunta ¿Cuáles son los beneficios e inconvenientes de enviar un token / link de inicio de sesión a un usuario? las respuestas son:

  1. Requiere acceso al correo electrónico en la misma computadora (usabilidad)
  2. Requiere actualizar la dirección de correo electrónico de uno con el sitio cuando se cambia la dirección
  3. Es vulnerable a un ataque en un correo electrónico de un solo usuario

SMS

Parece que estos problemas no son tan relevantes para el enfoque de teléfono celular / SMS.

Entonces,

  1. ¿Hay problemas de seguridad con este enfoque?
  2. ¿Hay sitios que utilizan este enfoque?
pregunta sds 15.04.2015 - 19:27
fuente

2 respuestas

3
  

¿Hay sitios que utilizan este enfoque?

Esto suena muy similar a Contraseñas a pedido de Yahoo .

  

Yahoo anunció que, en lugar de una combinación estándar de nombre de usuario y contraseña, los usuarios de Yahoo en los Estados Unidos podrían iniciar sesión en sus cuentas con contraseñas de un solo uso enviadas a sus teléfonos móviles a través de mensajes SMS.

  

¿Hay problemas de seguridad con este enfoque?

Sí, como el enfoque de correo electrónico es vulnerable a un ataque en una cuenta de correo electrónico, esto es vulnerable a un ataque en un dispositivo. El dispositivo podría ser robado, o si se trata de un teléfono inteligente, el malware podría diseñarse para acceder a los mensajes SMS y enviarlos a un atacante. Además, considere qué sucede si se pierde el teléfono o si la tarjeta SIM caducó (digamos que era un teléfono antiguo y que acaba de darse cuenta de que lo necesitaba para acceder a su cuenta).

  

Los requisitos de la contraseña loca me llevan a una situación donde hay   No tengo forma de memorizar las contraseñas de los diversos sitios que hacen   esos requisitos.

     

El resultado es que cada visita a esos sitios es una recuperación de contraseña   ejercicio (haga clic en el enlace de recuperación de contraseña, responda un mensaje personal   pregunta, reciba un mensaje de texto con un código o un correo electrónico con un enlace,   ingrese el código / visite el enlace, invente una contraseña que nunca usaré   de nuevo, finalmente acceda al sitio).

Esto ya es un problema resuelto. Obtenga un administrador de contraseñas, proteja todas sus cuentas con una contraseña maestra segura y memorable y luego podrá recuperar todo sin recordar las combinaciones individuales de nombre de usuario y contraseña.

    
respondido por el SilverlightFox 15.04.2015 - 19:55
fuente
0

Por lo tanto, un par de sitios le permiten iniciar sesión con, por ejemplo, OpenID , Google o Facebook, eliminando así la necesidad de credenciales por separado.

Facebook también introdujo tokens de inicio de sesión únicos ("contraseñas", OTP).

Con respecto a los SMS, recuerde que los SMS son mensajes de texto sin cifrar que solo están protegidos si el enlace entre su dispositivo y el proveedor de la red celular y el almacenamiento del proveedor y de su dispositivo están cifrados.

Se sabe que los SMS se han interceptado en varios casos (al menos en los dispositivos finales y por aire), por lo que solo deben considerarse un segundo factor de autenticación agradable, pero se deben usar como el único factor para muy aplicaciones de bajo valor solo en el mejor de los casos.

Como dijo SilverlightFox, un administrador de contraseñas es una opción recomendada para sitios de un solo uso (por ejemplo, tarjetas electrónicas) y no críticos como Facebook o incluso sitios críticos si confías en el administrador de contraseñas y en ti mismo, o si el sitio utiliza una Segundo factor de autenticación para acciones críticas, como lo hace la banca por Internet.

El peligro de usar un administrador de contraseñas es que una vez que su dispositivo / administrador se vea comprometido, todas las credenciales almacenadas también lo estarán, y es posible que ni siquiera lo sepa por mucho tiempo.

    
respondido por el Archimedix 16.04.2015 - 03:51
fuente

Lea otras preguntas en las etiquetas