Impedir el inicio de sesión web con las credenciales expuestas

2

Tenemos una situación aquí. El cliente para el que trabajo actualmente se coloca como una firma de corretaje de finanzas y su posicionamiento actual son:

  1. La firma tiene diferentes sucursales en diferentes ubicaciones
  2. La firma tiene una base de clientes gigante
  3. La firma toma en serio la seguridad

Ahora, sus requisitos especifican esto:

  1. Las contraseñas, si las comparten los clientes, deberían activar una OTP para una cuenta real
  2. Con la generación de OTP, se informa al propietario de la cuenta

La pregunta es qué se puede hacer para evitar que diferentes personas utilicen la misma contraseña compartida o, de manera simple, ¿cuáles son las diferentes maneras en que la empresa puede restringir el uso de la contraseña compartida para los usuarios previstos además de usar OTP?

Nota: anteriormente tenían una contraseña comercial que, junto con la contraseña principal, podía compartirse con terceros, por lo que no es una opción confiable.

    
pregunta Shritam Bhowmick 08.08.2015 - 12:57
fuente

2 respuestas

1

El problema con una contraseña es que puede compartirse y no hay una buena manera de darse cuenta de si fue compartida. No sabe fácilmente si la persona A o la persona B usaron la contraseña. Como mencionó @Rory, hay maneras de tratar de lidiar con eso. Implementando una lógica sofisticada para verificar si la contraseña es utilizada por el mismo humano. Puede rastrear la IP del cliente y si un usuario intenta iniciar sesión desde el sur de África una hora después de haber iniciado sesión desde Australia, su lógica podría considerar esto sospechoso.

Debes usar algo que no se pueda compartir fácilmente.

Es más fácil identificar a la persona con un segundo factor. Puede usar un token OTP que genera una contraseña de un solo uso y que el usuario debe ingresar, o puede enviar un OTP al teléfono móvil del usuario. Ambos escenarios son compatibles con privacyIDEA , que es una solución de código abierto a la que puede echarle un vistazo.

Pero aún así el problema con la OTP es que esa persona A también podría compartir la OTP actual con la persona B, incluso por teléfono o correo electrónico. Persona B: "Oye, persona A, conozco tu contraseña estática, pero ¿cuál es tu OTP actual?"

Si desea estar realmente seguro, es posible que desee utilizar certificados de cliente preferibles en una tarjeta inteligente. Luego, el usuario debe presentar su tarjeta inteligente para iniciar sesión. la persona A no podrá "compartir" su tarjeta inteligente por teléfono ;-)

    
respondido por el cornelinux 09.08.2015 - 12:25
fuente
1

Si entiendo la pregunta correctamente, estás tratando de evitar que los usuarios compartan contraseñas en un sistema basado en la web.

Un enfoque común para esto es limitar cada cuenta a una sesión simultánea, y si se inicia una nueva sesión, para terminar la sesión original.

Esto reduce la efectividad de compartir contraseñas, ya que no pueden usar el sistema al mismo tiempo.

También puede intentar detectar el abuso observando si una cuenta proviene de varios sistemas diferentes (por ejemplo, verificando cosas como el agente de usuario o la dirección IP de origen) y luego tomando algún tipo de acción si se detecta un abuso.

    
respondido por el Rоry McCune 08.08.2015 - 19:10
fuente

Lea otras preguntas en las etiquetas