conexiones externas que deben confirmar el correo electrónico

0

Permito que los miembros se registren / inicien sesión utilizando los inicios de sesión externos (redes sociales y demás), el problema es que, si no les pido que confirmen sus correos electrónicos, ¿cómo validaría su titularidad a este correo electrónico? la cuenta social no era de ellos), lo que marcará mi correo como spam

segundo, por razones de seguridad, obligo a los usuarios que desean cambiar su correo electrónico antes de la confirmación o reenviar la confirmación al mismo correo electrónico para ingresar su contraseña, que no existiría en el caso de inicio de sesión externo a menos que lo solicite (que está obligando al usuario a hacer pasos adicionales)

por lo que está siendo completamente seguro con una forma adicional de iniciar sesión que no sea la cuenta de la red social versus la conveniencia y la facilidad del proceso de registro, por lo que debería usar, o debería dejar que el usuario decida, pero sería importante ¿desde una perspectiva de seguridad?

    
pregunta m s lma 29.05.2017 - 18:23
fuente

1 respuesta

2

Principio: las medidas de seguridad "excesivas" hacen que los usuarios busquen formas de eludir la seguridad, lo que anula el propósito.

Desde mi experiencia en la implementación de sistemas similares, y la lógica que usamos para diseñarlos:

  1. La idea de la autenticación federada es "depender" del proveedor de identidades para hacer el trabajo de base para ciertas propiedades de la identidad, para que no tenga que hacerlo. Si está utilizando los inicios de sesión de Google / FB / LinkedIn o redes sociales similares, esta es una premisa básica. La clave aquí es asegurarse de que los procesos del proveedor de identidad estén verificando la propiedad (atributo) que están afirmando. Entonces, en general (es decir, a menos que su modelo de amenaza indique una excepción), no necesita verificar más una dirección de correo electrónico (que se encuentra entre los atributos de identidad más básicos).

** Usted mencionó "asumiendo que la cuenta social no era suya": para la mayoría de las aplicaciones, diría que este no es un escenario de amenaza que el diseñador de la aplicación deba cubrir. En definitiva, pedir que el correo electrónico sea verificado nuevamente después de que una autenticación federada parezca ser un poco excesivo de precaución, lo que perjudica la causa de seguridad más que a la ayuda.

  1. Hay varios flujos de restablecimiento de contraseña recomendados
    • uno notable que recuerdo es por Troy Hunt - aquí: enlace
    • mi favorito es de Jim Manico (OWASP / Manicode.net); El último bit de este documento (flujo de trabajo de contraseña olvidada) debería ayudar: enlace

Aunque no se indica explícitamente en ninguno de los anteriores, la necesidad de restablecer la contraseña a través de un correo electrónico registrado no aumenta la necesidad de verificación adicional en el paso 1.

Resumen: a menos que su aplicación tenga una amenaza específica, el correo electrónico de un flujo de autenticación de un proveedor de identidad reputado debería ser suficiente sin más verificación.

    
respondido por el Sas3 29.05.2017 - 18:48
fuente

Lea otras preguntas en las etiquetas