¿El inicio de sesión automático de subprocesos desde la implementación de correo electrónico es una experiencia de usuario segura / buena?

Navega tus respuestas
2

Por lo que sé, thread.com registra a sus usuarios automáticamente en función de un token en sus correos electrónicos, adjunto a la URL.

por ejemplo, enlace

Esta es una característica realmente útil y excelente, y hace que sea muy fácil interactuar con el sitio sin tener que recordar / iniciar sesión todo el tiempo.

Sin embargo, también guardan los datos de la tarjeta de crédito y la dirección para un pago fácil.

Entonces, a menos que me falte algo, si un usuario reenvía uno de sus correos electrónicos a alguien y dice que se reenvió nuevamente, cualquiera podría iniciar sesión en su cuenta, ver su información personal y meterse con su dinero. También puede encontrar la URL en el historial de un navegador y acceder allí.

Soy yo o es este un defecto de seguridad masivo y, si sucede lo peor, por lo tanto, una experiencia de usuario terrible. Los beneficios son brillantes, pero los riesgos potenciales parecen superar con creces esos beneficios.

Si me he perdido algo y esto se ha hecho de forma segura, ¿cómo lo están haciendo?

enlace

    
pregunta Tomass 26.11.2014 - 12:14
fuente

2 respuestas

2

En mi opinión, es probable que tenga aproximadamente el mismo nivel de seguridad que le permite restablecer su contraseña utilizando solo una dirección de correo electrónico. Esencialmente, si puede solicitar que se le envíe un restablecimiento de la contraseña en un correo electrónico, y un clic más tarde establece una nueva, es lo mismo.

Ahora, reenviar un correo electrónico de este tipo contiene los mismos riesgos de seguridad en ambos escenarios, pero honestamente, ¿cuándo fue la última vez que reenvió un correo electrónico de restablecimiento de contraseña a su amigo? De la misma manera, ¿por qué reenvía un correo electrónico de inicio de sesión a otra persona que no sea usted?

Además, a pesar de estar en el historial del navegador, el enlace generalmente solo debe ser de un solo uso (es decir, no puede usar un correo electrónico de décadas atrás para restablecer su contraseña, debe crear una nueva solicitud). De manera similar, al hacer clic en un enlace de inicio de sesión automático, el servidor le proporciona una cookie y elimina el token de la URL de su lado, lo que le impide utilizarlo dos veces desde dos computadoras diferentes.

Por supuesto, no he probado esto en absoluto, por lo que debería tomarse con sal, pero espero que todo esto sea lo suficientemente razonable.

    
respondido por el Tsaukpaetra 26.11.2014 - 22:35
fuente
0

A menos que haya pasado un tiempo analizando e intentando realizar una prueba de penetración con un mecanismo de "contraseña olvidada", no asuma que comprende o aprecia todo lo que está involucrado .

Varias discusiones sobre esto en la web parecen muy superficiales / ingenuas. La "detección de actividad sospechosa" es la cosa más obvia que debería estar ocurriendo bajo el capó en cualquier sistema implementado sanamente. Sin eso, esto es superdetoso. Con eso, esto es menos dudoso (pero aún considerablemente dudoso). Caso en cuestión: las instituciones bancarias / financieras no proporcionan una característica tan fácilmente subvertida.

  • Si un sistema está tratando con información financiera, no hagas esto.

  • Si un sistema está tocando un sistema de tarjeta de crédito, haga esto solo de acuerdo con los estándares de la Industria de Tarjetas de Pago (PCI) (p. ej., PCI-DSS), u obtenga a alguien que sepa lo que está haciendo para hacerlo.

  • Si un sistema está tocando / almacenando otra información confidencial (por ejemplo, datos personales), considere los riesgos y proceda con mucho cuidado (el logro de los estándares Top 10 / PCI-DSS de OWASP se consideraría "el mejor esfuerzo" ... falla poner su mejor esfuerzo es efectivamente negligencia, así que ore para que no lo demanden).

Por favor, lea atentamente:

enlace enlace enlace

    
respondido por el straya 26.10.2016 - 08:34
fuente

Lea otras preguntas en las etiquetas

GPG Web-of-Trust Level [duplicado] ¿Suena esta idea de TOTP de PHP (contraseña de una sola vez basada en el tiempo)?