Cómo restablecer contraseñas

1

Actualmente estoy en el proceso de diseñar un formulario de registro para que los usuarios registren cuentas. Las cuentas contendrán una gran cantidad de información personal, por lo que quiero garantizar la mayor seguridad posible. La falla / problema más grande en el requisito es que el nombre de usuario debe ser la primera letra del usuario seguido de su apellido, y por lo tanto, encontrar un nombre de usuario es una tarea fácil. Debido a eso, me aseguro de hacer cumplir un mínimo de 12 contraseñas de caracteres que incluyen números y mayúsculas y minúsculas.

Sin embargo, me preguntaba si un usuario se va de vacaciones o si tiene un hijo o si se toma un tiempo de licencia prolongado y luego regresa sin recordar la contraseña. ¿Qué medios tendría para él recuperar / restablecer su contraseña?

Encontré problemas en cualquier enfoque que se me ocurra.

Hacer preguntas de seguridad no parece ser una buena opción, ya que parece anular el propósito de hacer cumplir contraseñas largas. Hoy en día, muchas personas no son demasiado inteligentes y, por lo tanto, las respuestas a muchas preguntas de seguridad se pueden encontrar fácilmente en línea haciendo una investigación.

El simple hecho de enviar un enlace de restablecimiento o una nueva contraseña temporal al correo electrónico del usuario sin realizar alguna autenticación también parece inútil, porque si el usuario tiene una contraseña muy débil en su correo electrónico, el atacante intentará descifrar su correo electrónico en lugar de su cuenta.

Y casi cualquier otra contraseña para restablecer / recuperar significa que puedo pensar que parece anular el propósito de garantizar que un usuario tenga una contraseña larga.

¿Qué método de autenticación / restablecimiento recomendarías para esto?

Cualquier ayuda será muy apreciada.

    
pregunta Quillion 12.02.2014 - 15:28
fuente

3 respuestas

3

En algunos escenarios muy seguros (no sé si realmente necesitas hacerlo de esta manera) he visto las siguientes configuraciones:

  1. Envíe la contraseña por letra (no de la forma más segura, pero ...).
  2. Envíe la mitad de la contraseña por teléfono y la otra mitad por correo electrónico.
  3. Dos operadores telefónicos diferentes deletrean partes de la clave temporal.

Creo que la segunda forma es la mejor, pero creo que la mejor forma segura / usabilidad de hacerlo sería "restablecer el enlace" + "sms al número de teléfono móvil" (algo que el usuario tiene). Siempre puede solicitar algunos datos sobre la cuenta si desea agregar a la seguridad "algo que el usuario sepa". Siempre, al dar una forma de restaurar la clave, debe obligar al usuario a cambiarla la primera vez que la usa.

Estoy seguro de que puede inventar una solución a partir de estos puntos, pero, como siempre, no exagere si no es necesario, la mayoría de la gente tiende a pensar que su aplicación debe ser NSA-LIKE-EXTRA-SUPER SEGURO ".

    
respondido por el kiBytes 12.02.2014 - 16:12
fuente
1

Otro enfoque, si su sistema lo permite, es utilizar las claves rsa (no las claves-fob-thingies, el tipo público-privado).

Por ejemplo, con ssh (shell seguro), tengo un directorio en mi computadora portátil que contiene un archivo "id_rsa" con una clave. En las máquinas de trabajo, el directorio tiene un archivo id_rsa.pub que contiene algo como

ssh-dss AAAABRHW ... OvfVD9+3+hC+cR1680H5UBe4k= davecb@froggy

Este último es (un pequeño fragmento de) mi clave pública, y la máquina de trabajo puede usarla para confirmar que tengo la clave privada correspondiente en una fracción de segundo.

Si me roban mi computadora portátil, le digo a mi administrador en el trabajo que elimine el archivo de clave privada y que crearé una nueva después de recibir una computadora portátil nueva (;-))

Si abandono la empresa, el administrador elimina el archivo de clave pública y no puedo volver a iniciar sesión.

La computadora portátil se vuelve importante, por lo que tengo un disco encriptado, y la contraseña se convierte en mi "contraseña maestra", y la única que tengo que memorizar.

    
respondido por el davecb 12.02.2014 - 18:54
fuente
1

Evita el problema completamente; No emita contraseñas en absoluto. Utilice identidad federada . Hay una gran variedad de proveedores de identidad que administrarán la identidad del usuario por usted y no tiene que preocuparse acerca de los restablecimientos de contraseñas (la lista proporcionada corresponde a los EE. UU.; Europa tiene un "proveedor de confianza" similar, pero no tengo un enlace). Actualización: eliminé un ejemplo porque un comentarista señaló que era un mal ejemplo. El punto sigue siendo el sonido. El Identity Ecosystem Steering Group , la Estrategia nacional para Identidades de confianza en el ciberespacio y Kantara son simplemente tres organizaciones que trabajan para hacer que la federación sea más sólida.

Descargo de responsabilidad obligatorio; Soy un delegado "en general" de IDESG

    
respondido por el Mark C. Wallace 12.02.2014 - 16:41
fuente

Lea otras preguntas en las etiquetas