Requisito para enviar un nombre de usuario y contraseña en distintos mensajes de correo electrónico

11

Tengo una aplicación que envía un nombre de usuario y una contraseña por correo electrónico (contraseña temporal aleatoria, cambio obligatorio en el primer inicio de sesión).

Un gran cliente tiene esta política de "nunca enviar un nombre de usuario y contraseña en el mismo mensaje", y están exigiendo un cambio para dividirlo en dos mensajes de correo electrónico, uno que contiene el nombre de usuario y otro con la contraseña.

Comprendería si la demanda fuera enviar información a través de distintos canales, digamos, enviar el nombre de usuario por correo electrónico y la contraseña por SMS, porque comprometer ambos canales es más difícil. Pero enviar la información dividida en dos mensajes a través del mismo canal no tiene sentido para mí: si cree que su correo electrónico puede verse comprometido, debe asumir que el atacante podrá leer ambos mensajes, entonces ¿cuál es el punto de fracking?

¿Hay alguna lógica detrás de esta política?

    
pregunta Paulo Scardine 19.09.2013 - 01:29
fuente

3 respuestas

12

Caracterizaría esta recomendación de seguridad como Cargo Cult Security . No sé de un exploit que solo comprometa un solo correo electrónico. No hay un enlace más débil que se elimine al enviar esto en dos correos electrónicos, es simplemente molesto para los usuarios.

Una contraseña o token temporal que se pasa como parámetro GET generalmente se envía por correo electrónico. Nunca he visto este proceso dividido en dos correos electrónicos.

Le preguntaría al analista de seguridad que recomendó este cambio para brindarle un escenario específico en el que esto mejore la seguridad.

    
respondido por el rook 19.09.2013 - 01:53
fuente
6

Suena como un elemento de casilla de verificación en una lista de auditoría.

No veo otra seguridad real que no sea la de dificultar que el usuario reenvíe accidentalmente los correos electrónicos de ambos al mismo tercero o lista de correo. Cualquier cosa lo suficientemente críptica sobre los correos electrónicos para desacoplarlos entre sí también los haría más difíciles de usar para el usuario. Además, a menos que el usuario reciba una gran cantidad de correo no deseado, los dos correos electrónicos también serán directamente secuenciales en la bandeja de entrada del usuario, independientemente de cuán diferentes sean los correos electrónicos en contenido y origen.

Puede evitar el problema de auditoría si su aplicación tiene un sitio web; solo incluya una URL de creación de cuenta de un solo uso que lleve al usuario a una página HTTPS para ingresar la nueva contraseña.

    
respondido por el LateralFractal 19.09.2013 - 02:03
fuente
2

En la mayoría de los casos, tiene toda la razón con respecto a que la política solo tiene sentido cuando el segundo mensaje se envía fuera de banda. Hay casos en los que puedo pensar en ese beneficio al dividir el par en dos correos electrónicos:

  1. Es posible que un atacante pueda usar el nombre de usuario y la contraseña original para diseñar de manera más fácil su cuenta en la cuenta a través del soporte al cliente. El correo electrónico del nombre de usuario se puede archivar y la contraseña se puede eliminar. Aunque si controlan su cuenta de correo electrónico, probablemente solo puedan restablecer la contraseña.

  2. Fuera de la red, las rutas que viajan los paquetes de mensajes pueden variar significativamente. Si esa ruta termina pasando por un enrutador de mala reputación, podría registrar el par de nombre de usuario / contraseña. Los mensajes separados pueden tomar rutas separadas.

  3. Eavesdroppers, por ejemplo, cuando alguien revisa su correo electrónico en el Starbucks WiFi. Si no abren los dos juntos, hay menos posibilidades de que ambos se graben.

Sí, 2 puede mitigarse significativamente si se adhiere a los servicios que utilizan exclusivamente HTTPS y 3 se aborda por completo por él.

    
respondido por el SecsAndCyber 19.09.2013 - 02:39
fuente

Lea otras preguntas en las etiquetas