Protegiendo al usuario del acceso no autorizado

2

Por lo tanto, estamos planeando agregar una función a nuestra aplicación que sea similar a lo que hace Google, pero un poco más estricta:

  1. Tiene una lista de sesiones vinculadas a un agente de usuario y una dirección IP (?) (Google muestra una ubicación)
  2. 2FA solo es necesario cuando intenta iniciar sesión desde un dispositivo que no ha sido aprobado en los últimos 30 días.
  3. Si se realiza un intento de inicio de sesión a partir de un nuevo emparejamiento usuario-agente / IP, nos gustaría enviar un enlace con un token a su dirección de correo electrónico para aprobar el inicio de sesión.
  4. Cuando hagan clic en el enlace, si 2FA está activo, le pediremos a 2FA que apruebe el inicio de sesión.

Algunas cosas sobre las que nos estamos preguntando:

  1. Al hacer que el usuario tome medidas para aprobar los inicios de sesión, en lugar de Google, donde solo le informa sobre el inicio de sesión ... esperamos evitar un mayor número de inicios de sesión no autorizados. (Actualmente, enviamos un correo electrónico cada vez que el usuario inicia sesión y le informamos el usuario-agente y la región).
  2. Al requerir que 2FA utilice el enlace, esperamos proteger aún más el inicio de sesión no autorizado (aunque puede restablecer la contraseña con acceso al correo electrónico, necesitamos 2FA auth antes de poder acceder a la página para ingresar la nueva contraseña después de hacer clic en el enlace de restablecimiento. )
  3. Nuestra mayor preocupación es que no vamos a cometer errores por error y algunos usuarios tendrán que saltar a través de este aro mil millones de veces en la misma sesión porque su operador de telefonía móvil cambia su IP constantemente ... etc, etc. / li>

Entonces, tengo una idea de que la restricción basada en IP probablemente no sea demasiado buena ... ¿así que tal vez busque en la región a través de IP y solo en la lista blanca de la región? Pero entonces un pirata informático podría simplemente falsificar el agente de usuario y usar un proxy.

Nota: entiendo que esto no es nuestro límite para la seguridad, pero nos gustaría agregar esta capa para ayudar a reducir las instancias de acceso no autorizado.

Mi pregunta: ¿Qué modelo general de restricción de sesión / inicio de sesión logrará un buen equilibrio entre "evitar que los hackers / idiotas newb inicien sesión como usted cuando adivinaron su contraseña / phishing" y "no molestar al usuario todo el tiempo con enviar enlaces de autenticación "?

    
pregunta user3074620 15.05.2018 - 02:16
fuente

1 respuesta

1

Para ser honesto, no hay una "respuesta correcta" y esto probablemente requerirá un poco de prueba y error. Utilizo una VPN todo el tiempo y hago saltos de IP, pero sé que cuando hago eso mi banco requiere 2FA cada vez . Esa es una elección que estoy dispuesto a hacer, mientras que sus usuarios pueden no hacerlo. La mayoría de las personas con IPs inusuales aceptarán esta parte de la privacidad, y aquellos que usen la misma subred ISP que se conecta desde el mismo lugar (su casa o lugar de negocios) esperarán consistencia, por lo que una IP de Malasia tendrá un aspecto extraño y 2FA hará exactamente lo que haga. se supone que debe hacer aquí.

En general, un usuario móvil no tendrá que saltar a través de aros a menos que se conecte y vuelva a conectarse a nuevas redes mientras usa su aplicación. Si usa datos celulares, deberían estar bien y mantener una sesión consistente.

Dependiendo de qué sector y qué tan críticos sean los datos que está protegiendo, casi siempre es mejor apoyarse en el lado de la precaución. Asegúrese de incluir una nota de inicio de sesión para decirles a los usuarios por qué y cómo está protegiendo sus datos, ya que entenderán o se quejarán y tratarán con ellos de todos modos. Las infracciones aparecen en las noticias todos los días debido a que la gente intercambia conveniencia por seguridad, y nunca querría explicarle a mi CEO por qué un cliente de rueda chirriante cambió mi opinión sobre el bloqueo de una IP o el uso de 2FA que resulta en un servidor completamente comprometido y un .csv en pastebin con 1 millón de credenciales de nuestros clientes.

    
respondido por el SomeGuy 17.05.2018 - 20:18
fuente

Lea otras preguntas en las etiquetas