¿Cuáles son las desventajas de registrar a alguien en el registro?

1

Por lo tanto, suponiendo un sistema de autenticación de nombre de usuario / contraseña (no un SSO) si registra un nuevo usuario, ¿cuál es la desventaja de iniciar sesión antes de verificar su cuenta por correo electrónico?

Supongamos que al iniciar sesión no tendrán acceso a contenido sensible, o la capacidad de hacer algo como cargar una tarjeta de crédito.

La mayoría del software que he encontrado hace. "haga clic en registrarse" - > "rellenar formulario" - > "enviar correo electrónico" - > "activar cuenta" (a veces permite el inicio de sesión simultáneo) - > inicio de sesión.

lo que estoy tratando de averiguar es si hay un agujero de seguridad al tomar un formulario de inicio de sesión (me diste un nombre de usuario / contraseña) "click register" - > (la cuenta se crea y estás conectado); o "haga clic en registrarse" - > "rellenar formulario" - > "confirmar e iniciar sesión".

Obviamente hay ventajas / desventajas en la experiencia del usuario, pero he estado tratando de averiguar si hay implicaciones de seguridad al hacer esto. Las únicas implicaciones de seguridad que se me ocurren son las cuentas de SPAM, que es donde alguien crea usuarios automáticamente.

Solo trato de asegurarme de no cometer ningún error, como no usar un nonce en un enlace de restablecimiento de contraseña (no relacionado). Como tal vez hay algo relacionado con la seguridad que no sé que no sé.

    
pregunta xenoterracide 18.08.2016 - 06:50
fuente

1 respuesta

4

Está introduciendo un enumeración de usuarios falla en su sistema.

Es decir, cualquier atacante puede descubrir si [email protected] es un usuario en su sistema completando el proceso de registro.

Esto es útil para un atacante por dos razones:

  • Según el artículo vinculado anteriormente
      

    Como atacante si puedo usar su página de inicio de sesión u contraseña olvidada para limitar mi lista de 10000 objetivos a 1000 objetivos, lo haré.

  • En una campaña de phishing, el atacante sabe exactamente a quién enviar sus correos electrónicos.

También hay un problema de privacidad, especialmente si su sitio es algo sensible como Ashley Madison.

Si lo anterior es una preocupación para usted, puede mitigar pidiendo al usuario que reconozca primero el correo electrónico de activación. Consulte esta respuesta .

Si no, entonces como no les está permitiendo acceder a contenido o acciones confidenciales, existe poco riesgo adicional. Si lo fuera, entonces simplemente podría tener una marca en la base de datos: EmailConfirmed = 1 or 0 , que le permitirá a su sistema saber si pueden confiar en que la dirección de correo electrónico es genuina.

Además, el hecho de no verificar a los usuarios puede ser una molestia cuando una dirección de correo electrónico se escribe incorrectamente o se ingresa a propósito a la de otra persona, ya que la cuenta se pone en cuclillas y el usuario real no puede registrar su propia cuenta.

El usuario real de la cuenta a veces puede recuperar el control al completar el proceso de restablecimiento de la contraseña, aunque su cuenta se verá afectada por lo que haya configurado el ocupante anterior. Nuevamente, esto depende del sistema, pero si hay configuraciones confidenciales, como direcciones de correo electrónico de recuperación adicionales o claves de acceso u otras sesiones activas, entonces los usuarios deberían tener una forma de restablecer su cuenta a un estado nuevo después de cualquier incidente de cuclillas. / p>

La otra cosa que puede hacer que el restablecimiento sea complicado es si se emplea la autenticación de dos factores. Cualquier restablecimiento de la contraseña por el propietario real de la dirección de correo electrónico se vería obstaculizado debido a la falta del segundo factor que está disponible. En este caso, sería mucho más fácil validar la dirección de correo electrónico en el momento del registro, ya que las cosas pueden complicarse de otra manera.

    
respondido por el SilverlightFox 19.08.2016 - 13:22
fuente

Lea otras preguntas en las etiquetas