¿Cómo evitar los ataques del hombre en el medio cuando se envía información sensible por correo electrónico?

1

Estoy creando un sitio web donde los usuarios pueden comprar cupones. Debería enviar códigos de cupones a los clientes por correo electrónico y estos códigos son suficientes para utilizar el cupón. ¿Cómo puedo evitar al hombre en los ataques medios? ¿Tienes alguna sugerencia? Me gustaría evitar enviar información encriptada! Gracias a todos

    
pregunta Antonino Gdg 28.10.2018 - 17:59
fuente

1 respuesta

3

Un correo pasará a través de varios servidores de correo en su camino hacia el usuario. Incluso si el transporte entre estos servidores está cifrado (que usted, como remitente, no puede controlar y, por lo tanto, no garantiza), los correos están disponibles en forma simple en cada uno de los servidores. Además, el correo está disponible en el servidor final donde el usuario lo recuperará. Por lo tanto, hay muchas formas para que alguien lo intercepte.

Si, a pesar de esto, aún desea utilizar el correo, debe asegurarse de que el contenido del correo solo sea útil para el destinatario. Alternativamente, simplemente puede aceptar el riesgo de que alguien lea el correo y haga un mal uso de los cupones, lo que podría ser una opción aceptable si el valor de los cupones es bajo de todos modos.

Una forma de proteger los cupones sería cifrar el correo con métodos establecidos como PGP o S / MIME. Solo que no desea el cifrado y sería difícil hacerlo de todos modos, ya que estos métodos solo se establecen como protocolos, pero en la práctica no se usan ni se usan ampliamente, por lo que no funcionaría con la mayoría de los destinatarios.

Otra forma sería cifrar solo los cupones en el correo y proporcionar la contraseña necesaria al usuario durante el proceso de compra o dejar que el usuario elija una contraseña. Pero, nuevamente, este es el cifrado que no desea y el proceso de compartir la contraseña con el usuario probablemente será demasiado complejo para algunos usuarios y lo desalentará.

También puede enviar solo un enlace a los cupones por correo y el usuario debe iniciar sesión con la misma información que utilizó para comprar los cupones a fin de recuperar los cupones de su sitio web. Esto podría ser un nombre de usuario y contraseña si tiene cuentas de usuario de todos modos o podría ser parte de la tarjeta de crédito utilizada para comprar los cupones, etc. Por supuesto, en este caso, puede ser más sencillo no enviar el correo en primer lugar, sino simplemente dejar que El usuario descarga los cupones en el momento en que los compró.

O, si insiste en usar el correo (que no está protegido), podría simplemente aceptar el riesgo de que otra persona tenga acceso a los cupones y agregar una verificación más adelante cuando los cupones se utilicen. Esto se puede hacer personalizando los cupones y exigiendo algún tipo de validación cuando se usen los cupones. Dependiendo de cómo se usen, esto podría ser algún tipo de identificación de quién está usando los cupones o asegurarse de que la persona que los usa tenga acceso a la misma tarjeta de crédito que se utilizó para comprarlos.

    
respondido por el Steffen Ullrich 28.10.2018 - 18:41
fuente

Lea otras preguntas en las etiquetas