Cuando obtengo las credenciales para una nueva máquina, mi compañía a menudo enviará la identificación de inicio de sesión en el correo electrónico, luego la contraseña a través de SMS (o algunas veces Skype). Obviamente, esto se hace para separar el inicio de sesión y la contraseña en canales separados bajo el supuesto de que sería muy improbable que un intruso detecte ambos.
¿Es esta una práctica de seguridad estándar, o algo que ellos inventaron?
es bastante estándar separar el nombre de usuario y la contraseña en múltiples instancias o (mejor) múltiples formas de comunicación. Algunos envían dos correos electrónicos separados (lol), otros envían un correo electrónico y una llamada telefónica para obtener la contraseña, encontrará todo tipo de métodos para separarlos. Pero un par de cosas deben tenerse en cuenta.
1) cualquier contraseña escrita en cualquier lugar o enviada a través de cualquier método en texto sin formato debe suponerse comprometida. 2) puede ayudar a mitigar el # 1 enviando una contraseña temporal, requiriendo que el usuario la cambie la primera vez que inicie sesión, de lo contrario caducará en 24 horas o tal
Si bien seguiría el sentido común al transmitir las contraseñas, creo que el usuario final es el mayor punto de riesgo, no el acto de obtenerlas.
FWIW, he visto más de una compañía de teléfonos imprimir mensajes SMS en la factura ... al menos skype debería ser una conexión ssl.
Sí, es una práctica estándar por la razón básica que describió. Sin embargo, si el nombre de usuario se envía por correo electrónico y la contraseña a través de Skype o algún otro mensajero, todo lo que el atacante debe hacer es escuchar en su puerto de red la conexión al servidor de correo y al servicio de mensajería.
A continuación, se encontrará con problemas si la contraseña se guarda en algún lugar de la memoria caché o si el usuario no borra el mensaje SMS. Sin embargo, no es un problema tan grande si es una contraseña de un solo uso.
No es realmente una buena idea enviar mensajes de texto con contraseñas de largo plazo, porque no sabes qué operadores transportarán tu texto y cómo. Esta pregunta StackExchange explica el estándar procedimiento para el cifrado de SMS, pero debe recordar que toda esta infraestructura no está en sus manos; es mejor tener tu propio cifrado.
Cada vez que envíe una credencial que debe durar en el tiempo, debe hacerlo con el cifrado de extremo a extremo . Después de todo, es posible que no esté frente a su PC cuando reciba la contraseña, y si se la intercepta, es posible que alguien pueda iniciar sesión antes de hacerlo y establecer otra contraseña.
Solo debe enviar un mensaje de texto con contraseñas de un solo uso , y solo cuando esté seguro de que el dispositivo está Enviarlo a está en manos de su destinatario. Es una mala idea bloquear a alguien de una cuenta solo porque le robaron el teléfono, especialmente porque la mitad de los usuarios de teléfonos inteligentes no protegen su dispositivo ni siquiera con un PIN o un gesto.
Por lo tanto, el texto de la contraseña es bueno como uno entre las múltiples formas de Autentificación de 2 factores con contraseñas de un solo uso (idealmente, proporcione una alternativa para las personas con teléfonos robados), pero no para enviar contraseñas perdidas o enlaces de restablecimiento de contraseñas.