¿El hecho de aplazar la elección de la contraseña hasta después de la activación de la cuenta mejorará la seguridad?

2

Hace aproximadamente un año, durante aproximadamente dos meses, muchas cuentas de usuarios con direcciones de correo electrónico de acceso no verificadas comenzaron a acumularse.

Todas las direcciones pertenecían a @ yahoo.com. Aparece (no sé a ciencia cierta) algún tipo de Yahoo! La vulnerabilidad de Messenger permitió que algunos hackers se extendieran a muchos sistemas y luego crearan cuentas en nuestro sitio web.

Algunos usuarios hicieron clic en el enlace de activación, aunque el correo electrónico informaba correctamente de no realizar ninguna acción si no solicitaban una cuenta.

Lo único que se podía deducir como útil para los atacantes, era que conocían las contraseñas de las nuevas cuentas y esperaban crear tantas cuentas como fuera posible (de diferentes direcciones IP) con un esfuerzo automático desde diferentes ubicaciones , evitando los captchas u otras protecciones de limitación de velocidad.

Este mismo tipo de ataque se puede usar para suplantar a alguien con acceso elevado a algunos servicios (creo yo).

La única protección que se me ocurre es pedirle al usuario que elija una contraseña después de hacer clic en el enlace de activación de la cuenta, que también realizará el inicio de sesión automático. Para crear una cuenta, solo se le pedirá al usuario su dirección de correo electrónico. No he visto hacer esto en ningún otro lugar, ¿hay un inconveniente de seguridad que me estoy perdiendo?

    
pregunta Tiberiu-Ionuț Stan 11.02.2014 - 12:19
fuente

2 respuestas

1

Entonces, si estoy leyendo tu pregunta correctamente, te preocupa que los atacantes creen cuentas usando direcciones de correo electrónico que no eran de su propiedad.

La primera pregunta sería "¿por qué es esto un problema?" ¿Supongo que solo un pequeño porcentaje de las personas que usaron mal las direcciones de correo electrónico habrían hecho clic en el enlace de registro de una cuenta que no solicitaron?

En general, también es posible que cualquiera pueda crear una cuenta en un sitio que solo requiera una dirección de correo electrónico válida. Si tiene su propio nombre de dominio, puede usar [cualquier] @ dominio.nombre para tantas cuentas como desee y también hay servicios que proporcionan direcciones de correo electrónico temporales explícitamente con el fin de suscribirse a cosas.

Si el problema es que no desea que estas cuentas abarroten su sistema, sugeriría que la mejor manera de evitarlo es hacer que actúen después de , hacen clic en enlace en el correo electrónico, antes de activar la cuenta.

Por ejemplo, pídales que inicien sesión con las credenciales que usaron para registrarse, y vinculen eso al código de una sola vez en el enlace.

    
respondido por el Rоry McCune 11.02.2014 - 15:42
fuente
0

El primer inconveniente que se me ocurre es que si su servicio se usa mucho, alguien solo necesita adivinar uno de los enlaces activos actualmente y luego podrá elegir una contraseña para él y tomar el control de la cuenta. especialmente porque tiene la intención de iniciar sesión automáticamente en ellos, lo que les daría el nombre de usuario y la contraseña que seleccionaron.

Realmente necesita que el usuario cree un nombre de usuario y una contraseña cuando solicite la cuenta y luego la confirme cuando haga clic en el enlace de validación (a menos que su sesión sea válida).

    
respondido por el AJ Henderson 11.02.2014 - 17:37
fuente

Lea otras preguntas en las etiquetas