¿Existe alguna seguridad / vulnerabilidad adicional si permite que una "parte confiable" acredite que usted es legítimo, si se le excluyó de su cuenta?

Question

¿Existe alguna seguridad / vulnerabilidad adicional si permite que una "parte confiable" acredite que usted es legítimo, si se le excluyó de su cuenta?

#1 de Ángel (1 votos)
#2 de d0nut (0 votos)

0

Estaba leyendo esta respuesta en una pregunta.

Recientemente, en la conferencia OWASP AppSec 2010 en el Condado de Orange, Bill Cheswick de AT & T habló extensamente sobre este tema.

....

Permitir que una parte de confianza responda por el usuario, para que pueda cambiar su contraseña.

Por supuesto, sé que esto tiene 6 años en este momento, pero ...

Tenía curiosidad, ¿existe realmente alguna seguridad adicional para esto? Por "parte de confianza" se supone que se trata de un amigo u otra persona que ya está autorizada, o es un administrador del sitio / aplicación?

Si alguien está bloqueado de su cuenta tanto que no puede usar su correo electrónico, o incluso el correo electrónico de respaldo para su correo electrónico principal, entonces, ¿cómo se restablecerá su contraseña para comenzar? ¿Podría ser entregado por esta "fuente confiable" a otro correo electrónico, o posiblemente por teléfono / texto (si es amigo)?

Entonces, ¿hay alguna forma en que un pirata informático pueda piratear la Cuenta A, que responda a la Cuenta B, y luego haga algo malicioso a la Cuenta B? Dice "parte de confianza", por lo que si la parte no es confiable, ¿qué es lo peor que podría pasar?

Sé que algunos juegos implementan "Vales" que obtuviste si recibes a un amigo y los traes al juego, pero nunca he visto un vale responsable en caso de que su amigo esté bloqueado ...

¿Algún comentario sobre esto? Gracias.

passwords authentication authorization account-security third-party

pregunta XaolingBao 23.05.2016 - 22:26

fuente

2 respuestas

Lea otras preguntas en las etiquetas passwords authentication authorization account-security third-party

Usar dos marcas diferentes de herramientas de seguridad para bloquear puertas traseras Manejo de inicio de sesión de usuario usando criptografía asimétrica

score 1 · Answer 1

Parte de confianza es exactamente eso. Alguien de confianza cuando te identifica.

El comprobante más básico ocurre cuando usted se encuentra frente a la Mesa de Ayuda y les dice que olvidó su contraseña y que ahora está bloqueado de su cuenta. Luego, el personal de TI confirma que es usted y restablece su contraseña.

Ahora, suponga que no había ningún administrador de dominio disponible cuando fue allí, y tuvo que ir después de explicar su problema a su interno. Luego, el interno estaría garantizando que la solicitud de cambio de contraseña provino de Lasagna y no de un impostor.

Otro caso común sería que dichas solicitudes tienen que pasar por un sistema de emisión de boletos. Dado que no puede abrir un boleto mientras está bloqueado, otro usuario (por ejemplo, su jefe o cualquier empleado) abre la solicitud por usted, por lo que están confirmando su solicitud.

De hecho, es bastante común en la seguridad física que un organizador tenga que salir para responder a alguien que está detenido por la seguridad que intenta ingresar a la ubicación.

Si alguien está bloqueado de su cuenta tanto que no puede usar su correo electrónico, o incluso el correo electrónico de respaldo para su correo electrónico principal, entonces, ¿cómo se restablecerá su contraseña para comenzar? ¿Podría ser entregado por esta "fuente confiable" a otro correo electrónico, o posiblemente por teléfono / texto (si es amigo)?

La confianza podría proporcionar un nuevo correo electrónico. Y sí, suponiendo que la solicitud sea genuina, se le podría dar la nueva contraseña temporal. La contraseña debe estar marcada como que requiere un cambio en el próximo inicio de sesión, de todos modos.

score 0 · Answer 2

Diría que porque permite un aumento masivo del daño potencial si una cuenta es hackeada.

Di que quiero entrar en la cuenta A . Si la cuenta A configura la cuenta B , C , y D en la garantía de ellos, tengo 3 objetivos potenciales más de los que podría intentar acceder. Uno de ellos está obligado a tener una contraseña débil o es susceptible a la ingeniería social. Ahora que tengo acceso a la cuenta C , puedo acceder a cualquier cuenta en la que la cuenta C se configuró en "garantía" como si estuviera bloqueado. Desde esas cuentas, puedo seguir adelante y adelante para todas las cuentas que las configuren como ellas como garantizadas.

Hay algunas medidas de seguridad que se pueden implementar, como requerir que un cierto número o más de esas "cuentas que se pueden anular" para responder por usted puedan hacer que esto sea más seguro.