elearning pin autenticación

Navega tus respuestas
0

Trabajo en un sitio web de salud y seguridad que ofrece un curso en línea con certificación. Recientemente, hemos fortalecido la seguridad mediante el uso de hashing de contraseñas de administrador.

La pregunta se relaciona con el acceso del usuario al curso. Actualmente, un administrador activará la serie de un estudiante al designar un nombre de usuario. Luego le entregan esto al estudiante que es responsable de establecer su propia contraseña, que también está en hash.

El problema se debe a que las contraseñas de usuario de hash, demoran mucho más en activar los seriales y acceder / completar el curso. Anteriormente, el administrador activaba una serie de estudiantes en su nombre con una opción de nombre de usuario. El sistema generaría automáticamente una contraseña única de aprox. 12 caracteres que se almacenaron en texto plano. Esto significaba que el administrador podría activar una serie de inicios de sesión para, por ejemplo, 12 estudiantes a la vez e imprimir / emitir un PDF con su inicio de sesión completo. Este sistema era mucho más fácil de entender para todos, pero, por supuesto, el administrador podía ver sus contraseñas.

Lo que me pregunto es si hay una distinción en los círculos de seguridad entre las contraseñas y un código de acceso / pin. Diga solo una serie de 3 entradas / seleccione los menús que aceptan los valores 1-10 para el acceso del usuario en lugar de la contraseña. Entonces, el pin simplificado podría almacenarse / imprimirse en texto sin formato, en el entendimiento de que solo es temporal y se borrará tan pronto como se complete el curso.

La idea es que si solo es un pin de 3 dígitos, incluso si se almacena en texto sin formato no sirve para un pirata informático, ya que no se aceptará como contraseña en ningún otro sitio web típico. También solo se podrían permitir 2 intentos de inicio de sesión antes de bloquear para evitar ataques de fuerza bruta. El usuario solo puede necesitar el pin de acceso durante una hora mientras completa el curso antes de que se borre de la base de datos. ¿Existe una forma segura de volver a un nombre de usuario más simplificado + inicio de sesión basado en pin para el acceso temporal de e-learner?

    
pregunta Robert Sheppard 19.07.2018 - 16:03
fuente

1 respuesta

3

Hay un montón de preguntas diferentes incluidas aquí, así que solo voy a responder las de nivel de superficie.

¿Se aceptan los PIN temporales o de un solo uso en los círculos de seguridad?

Absolutamente, pero solo si es A) un solo uso, o B) lo suficientemente largo como para evitar el forzamiento bruto (es decir, 256 bits de aleatoriedad).

Ejemplo A: correo electrónico de verificación de la cuenta de Google, lo que está en blanco es un token de acceso de uso aleatorio. Si intentas hacer clic dos veces, el segundo intento rebotará:

EjemploB:tambiénescomúnusarestoparagenerarunenlaceparaelaccesoanónimoalcontenido,peroaquínoseusaunasolavez,porloqueeltokennecesitaserlosuficientementelargoylosuficientementealeatoriocomoparaevitarelusodefuerzabruta.

¿EssuficienteunPINde3dígitos?

Talvez?BloquearunPINdespuésde2intentosincorrectospuederesolversuproblema,perotambiénpresentaunavíafácilparaqueunatacantepuedaDOSparasuservicio(esdecir,mantengaasususuariospermanentementebloqueadosy,porlotanto,lesimpidaaccederalservicio).

Personalmente,megustaríadeshacermedelaideadequeelPINestá"reemplazando" una contraseña y, en su lugar, seguir el ejemplo de Google enviando por correo electrónico un enlace largo de un solo uso que le indica al servidor a qué usuario y a qué curso otorgarle acceso. . Esto supondrá tanto una menor fricción para sus usuarios como una menor desviación desde una perspectiva de seguridad.

    
respondido por el Mike Ounsworth 19.07.2018 - 16:24
fuente

Lea otras preguntas en las etiquetas

¿Qué hace -sn -Pn en Nmap? 1.1.1.1 Cloudflare DNS encriptado. ¿Sigue filtrando direcciones IP?