¿Cómo pueden las aplicaciones lidiar con el reciclaje / reasignación de números de teléfono al enviar restablecimientos de contraseñas?

1

Instagram permite a los usuarios registrarse con su número de teléfono (verificado por un pin enviado a través de texto), un nombre de usuario y contraseña. Si olvida su contraseña, puede solicitar un enlace enviado a través de texto a su teléfono para restablecer su contraseña.

Hoy me di cuenta de que los números de teléfono se pueden reasignar a nuevas personas si ya no se usan, así que considere lo siguiente:

Hago una cuenta de instagram con mi número de teléfono. Luego obtengo un nuevo número y no me molesto en actualizar / eliminar los detalles. Alguien que me reasignó mi número anterior luego solicita un cambio de contraseña, y voila, ¿tienen acceso a mi cuenta de instagram?

Parece que Lyft realmente ha experimentado algo como esto: enlace

Entonces, ¿qué pueden hacer las compañías que utilizan números de teléfono para verificar y evitar este problema de seguridad (en mi opinión)?

    
pregunta dan martin 12.05.2017 - 02:47
fuente

3 respuestas

2

En estos días, la reasignación del número de teléfono no es la mayor preocupación de seguridad para las aplicaciones que utilizan SMS como parte del proceso de autenticación. Esto es relativamente raro y no se puede usar (o al menos es muy difícil de usar) para atacar a una víctima en particular. En esencia, cuando sucede, lo hace accidentalmente y no maliciosamente. Si bien todavía no es bueno, podría ser peor. En contraste, incluso el uso de SMS se reconoce cada vez más como una solución de seguridad insegura, incluso si usted no cambia su número de teléfono. Ha habido un número creciente de ataques de alto perfil que han ocurrido debido a debilidades (de todo tipo) en torno al SMS. El problema es que el SMS en sí nunca fue realmente diseñado teniendo en cuenta la seguridad, y las compañías telefónicas son muy lentas para detectar este hecho y protegen a sus usuarios de forma más proactiva. Aquí hay algunas buenas lecturas para ejemplos:

enlace

enlace

¿Qué puedes hacer al respecto? No mucho, desafortunadamente Muchos servicios vienen con mensajes de texto como la opción predeterminada (o incluso la única) tanto para la autenticación de 2 factores como para la recuperación de la contraseña. Cuando este es el caso, desafortunadamente no hay mucho que puedas hacer para no presentar una queja o utilizar un servicio diferente.

Si está creando su propio servicio, y tiene algo de mínimo valor (que incluye prácticamente cualquier información personal), asegúrese de estar al tanto de las mejores prácticas para la seguridad moderna y realice esos son los predeterminados.

    
respondido por el Conor Mancone 09.10.2017 - 15:32
fuente
0

Simple: no envíe todo al teléfono, solo un token o una parte de lo que se necesita para cambiar la contraseña ...

Por ejemplo:

  • no envíe el nombre de usuario como parte del enlace, pero requiere que el destinatario ingrese el nombre de usuario al restablecer
  • haga una pregunta de seguridad
  • solo envíe un código a través del enlace que el usuario debe ingresar para autorizar el cambio
respondido por el schroeder 12.05.2017 - 08:22
fuente
0

Creo que una buena respuesta es que estas compañías pueden pedirle a la persona que usa la verificación del teléfono que ingrese la dirección de correo electrónico, o que escriba el nombre y el apellido.

    
respondido por el Samuel P 10.12.2018 - 21:52
fuente

Lea otras preguntas en las etiquetas