Indicadores de la misma cuenta en los sitios web

2

Estoy creando un sistema de usuario que se utilizará en varios sitios web sin el uso de SSO (la molestia adicional realmente no vale la pena en este momento).

Estoy buscando formas de decirles a los usuarios que pueden usar los detalles de su nombre de usuario / contraseña de X Network en nuestros sitios web específicos.

Sin embargo, un punto interesante que pensé es que ¿son estos esencialmente un signo de una falsa sensación de seguridad?

Por ejemplo: diga que está iniciando sesión en el "Sitio web A" y ve el logotipo de "X Network", para que sepa que puede iniciar sesión allí.

Ahora, por ejemplo, un Phisher configura el "Sitio web P" y pone el logo de "X Network" en él para que la gente piense que forma parte de la Red X.

¿Son estos más problemáticos de lo que vale?

¿Es más fácil dejar que el usuario escriba su correo electrónico, y descubra de esa manera que tiene una cuenta y luego les dice de dónde es probable que sea su cuenta? O incluso más seguro: registrar el lugar donde se registró y decirles, o enviarles un correo electrónico con la información sobre los intentos fallidos de inicio de sesión de X.

    
pregunta DomLip 30.08.2017 - 21:33
fuente

2 respuestas

1

Según lo que ha dicho, algunos de sus pensamientos plantean algunos problemas de seguridad:

  1. ¿Qué protocolos está utilizando para crear estos 'fideicomisos' entre los sitios web? No debe crear sus propios mecanismos de autenticación entre sitios. Nunca es una buena idea crear estos mecanismos usted mismo. Desde una perspectiva de seguridad, es muy peligroso, a menos que realmente comprenda las implicaciones y las desventajas.
  2. La preocupación que tiene sobre el phishing no es realmente específica del escenario que ha descrito. Un atacante siempre puede crear un sitio web de evil-copy-cat que parezca ser el sitio legítimo.
  3. A menos que esté usando algún método de delegación de acceso seguro (como OAuth o SSO), argumentaría en contra de alentar a los usuarios a usar las mismas contraseñas entre los diferentes sitios web. La mejor práctica es no reutilizar las contraseñas y esa reutilización debilita la seguridad general de toda la colección de sitios web.
  4. La enumeración básica de la cuenta de usuario es un problema aquí. También parece que un atacante podría ingresar direcciones de correo electrónico en una de las páginas de inicio de sesión y ver a qué otro sitio web está asociado el correo electrónico. Si el atacante entiende que las credenciales entre los sitios web asociados son las mismas, esto facilita que el atacante inicie sesión en estos sitios web al comprometer solo una de las credenciales del usuario.

Supongo que estos sitios web se encuentran en una red interna de confianza de la empresa. Si puede proporcionar más detalles sobre por qué está pensando en crear algo personalizado en lugar de implementar SSO, entonces podremos proporcionarle una mejor respuesta.

    
respondido por el SecretSasquatch 30.08.2017 - 22:58
fuente
0

Si desea una indicación de "Sitio de la red X" que no pueda ser falsificada, es posible que pueda utilizar un certificado EV. Pero también deberías entrenar a tus usuarios para que lo busquen, porque nadie les presta atención normalmente.

    
respondido por el Ben 31.08.2017 - 19:56
fuente

Lea otras preguntas en las etiquetas