¿Compartir contraseñas por correo electrónico puede considerarse inseguro?

Navega tus respuestas
1

Soy responsable de crear nuevas cuentas para algunos servicios en mi trabajo. Algunos de estos servicios no permiten el cambio de contraseña por parte del usuario, por lo que en el caso de que el usuario quiera cambiar su contraseña, tendrá que decírmelo o yo debería cambiarlo y decírselo. En cualquier caso, la contraseña debe ser enviada.

Hasta ahora he estado usando el correo electrónico, pero no estoy seguro de que sea una forma adecuada. Los servicios web generalmente envían su contraseña a su correo electrónico, pero también se le permite cambiar la contraseña. En este caso, es para aplicaciones de intranet y para cambiar la contraseña, siempre alguien más debe saber la contraseña también.

Cuando la nueva cuenta es para alguien ubicado en mi ubicación, solo me acerco a él y le digo su información de inicio de sesión, pero hay muchas ubicaciones dentro de esta intranet, por lo que a menudo es imposible acercarse al nuevo usuario.

PS: los colegas también estaban usando Skype.

    
pregunta yzT 05.02.2014 - 10:56
fuente

3 respuestas

9

El correo electrónico es inseguro. Los correos electrónicos pueden perderse, dirigirse de forma incorrecta, escucharse a escondidas y falsificarse. Enviar una contraseña por correo electrónico es una gran vulnerabilidad.

"Nosotros" lo hacemos sin embargo porque en algunas situaciones las alternativas son simplemente peores por razones de usabilidad. Y aplicamos medidas de mitigación:

  • La contraseña es temporal y no permite el acceso directamente; solo da acceso a una interfaz de "cambio de contraseña", esta vez a través de un túnel protegido (HTTPS ...).

  • Si la contraseña temporal no se ha utilizado en un período de tiempo reducido, se desactiva y se activa una alarma.

  • La contraseña temporal se desactiva automáticamente después del uso.

  • Los usuarios están capacitados para activar alarmas cuando no reciben una contraseña esperada por correo electrónico o cuando intentan usarla y descubren que ya está desactivada.

El uso de mensajes de Skype para transmitir la contraseña temporal podría ser una mejor idea. Los mensajes de Skype son menos escuchados rutinariamente por los atacantes aficionados, porque están cifrados, lo que hace que el espionaje sea más difícil (los detalles no se publican, pero eso es mejor que ningún cifrado). Por otro lado, existe la sospecha de que los mensajes de Skype son inspeccionados de manera rutinaria por algunas agencias gubernamentales (de varios gobiernos) a las que se les dio acceso de puerta trasera. De esa manera, puedes elegir el tipo de atacante que puede espiar las contraseñas temporales ...

También puede ser una buena idea escribir las contraseñas por teléfono. Las líneas telefónicas no son más seguras contra el espionaje que Skype, pero una llamada es sincrónica : puede hacer que el usuario aplique la contraseña temporal y elija su nueva contraseña mientras está hablando con usted. Esto puede reducir considerablemente la ventana de vulnerabilidad.

    
respondido por el Tom Leek 05.02.2014 - 15:41
fuente
1

Obviamente, no es ideal que los usuarios no puedan cambiar sus contraseñas. Pero supongo que no tiene capacidad para modificar estas aplicaciones; necesitas operar lo que tienes de la manera más segura posible.

Le recomiendo que señale temas como este a su administración, en parte con la esperanza de que hagan que los desarrolladores realicen cambios y, en parte, se culpe en caso de problemas. El cambio ideal para la aplicación sería deshacerse de las contraseñas por completo e integrarse con un entorno de inicio de sesión único, como Active Directory.

Una forma práctica de lidiar con este problema es romper la contraseña a la mitad. Envíe la primera mitad por correo electrónico y la segunda mitad como un mensaje instantáneo de Skype (o SMS, o lo que sea).

    
respondido por el paj28 05.02.2014 - 12:00
fuente
-3

Realmente depende de la seguridad que realmente necesites. Para la mayoría de los sitios web y servicios, está bien enviarle una contraseña clara (o restablecer el enlace de la contraseña) a su correo electrónico. Hoy en día, la comunicación entre los servidores de correo electrónico y los clientes está cifrada (pero cualquiera puede leer el correo electrónico en la cadena entre el remitente y el destinatario, a menos que esté cifrado).

También dependerá en gran medida del contexto y la cantidad de información que proporcione en el correo electrónico: si envía algo como "su nueva contraseña para las aplicaciones, la aplicación para su nombre de usuario es Contraseña", entonces está dando una gran cantidad de consejos (pero esto podría estar completamente bien también). Quizás puedas enviar la contraseña de una manera más sutil ...

Lo que realmente haré es usar siempre el mismo canal para que pueda minimizar los riesgos. A medida que los canales crecen, los riesgos también crecen, así que apégate a un canal para estudiar sus riesgos y trata de asegurar este método.

Como otra nota al margen, no enviaré la contraseña real al correo electrónico ya que cualquier "observador" podría encontrarse buscando la contraseña por casualidad, así que prefiero enviar un enlace o un procedimiento para que el usuario obtenga la nueva contraseña cuando esté disponible para hacerlo de forma segura.

    
respondido por el kiBytes 05.02.2014 - 11:07
fuente

Lea otras preguntas en las etiquetas

¿Hay alguna manera de obtener información del enrutador [cerrado] ¿Qué seguridad ofrece un ISP a sus clientes?