¿Qué medidas de seguridad se toman cuando un sistema de inicio de sesión solo requiere un PIN y ningún nombre de usuario? [cerrado]

Navega tus respuestas
-2

El gimnasio al que asisto les brinda a sus clientes acceso al edificio al darles un código PIN de 6 dígitos que deben ingresar en un teclado numérico cuando quieran entrar / salir del gimnasio.

  • ¿La persona que se agregó al sistema inmediatamente después de mí recibe my_pin + 1 ? Eventualmente, ¿alguien obtendrá my_pin + 1 ? ¿No es este un sistema mal diseñado?
  • ¿Qué sucede cuando el gimnasio tiene 999999 clientes?

( Solo pregunto esto porque tengo curiosidad. Ya tengo un PIN. No necesito otro :))

    
pregunta turnip 10.06.2016 - 16:53
fuente

3 respuestas

2

1) No necesariamente. Hay muchas formas de generar enteros aleatorios en un rango prescrito (por ejemplo, 000000 a 999999) de modo que si su pin es my_pin , el siguiente usuario puede tener un other_pin completamente no relacionado. En cuanto a "¿alguien obtendrá my_pin+1 ?", Depende del número máximo de clientes simultáneos (es decir, de PIN válidos en el mismo período de tiempo), lo que nos lleva a su siguiente pregunta.

2) Por un lado, a menos que su gimnasio sea extremadamente grande, nunca tendrá más de un millón de usuarios por suscripción año / mes / semestre. Por ejemplo, si puede tener 1,000 clientes como máximo, el sistema puede generar 1,000 enteros aleatorios en el rango de 000000 a 999999. Incluso si, dentro de los 10,20 o más años de actividad de su gimnasio, en realidad puede cuente un millón de usuarios, esto no es un problema, porque el código PIN no tiene que ser válido para siempre. Esto significa que sería bastante fácil restablecer la generación de PIN al comienzo de un nuevo período de membresía. Las cosas se vuelven un poco más complejas si puedes suscribirte en un momento dado, pero aún podría hacerse. Si esto no se pudiera hacer, podrían ampliar el rango a, por ejemplo, 9999999.

Por otro lado: ¿qué pasaría si dos clientes tuvieran el mismo PIN? Depende. Si el único propósito del PIN es verificar que la persona que ingresa al gimnasio sea un cliente real, no ocurrirá nada significativo. Sin embargo, debe tener en cuenta que este sistema le permitiría a sus amigos usar los recursos del gimnasio, siempre que les proporcione su PIN y que esto no sea en interés de los propietarios. Así que, básicamente, todo el sistema (independientemente del método de generación de PIN) sería defectuoso, a menos que se usara otro "sistema de autenticación", como una recepcionista que verifique que extraños no estén ingresando al gimnasio.

Si el PIN estaba relacionado de alguna manera con los descuentos personales, alguien podría obtener un descuento que se le envió a usted.

    
respondido por el A. Darwin 10.06.2016 - 17:14
fuente
1

Depende de cómo el gimnasio haya configurado el sistema. Definitivamente no sería seguro si fuera your_pin + 1, porque luego abandonaste el gimnasio y aún podrías entrar fácilmente. Me imagino que tienen una fórmula para asignar pins al azar sin duplicarlos. Una vez que el gimnasio llega a más de 999999 clientes (que probablemente no), comienzan a asignar alfileres a dos personas (lo que significa que no podrías identificar quién es) y sería una muy mala idea O lo aumentan a 7 dígitos alfiler. Es difícil decir con seguridad lo que hicieron, realmente depende de quién lo configuró y de lo que creen que es una buena idea o si incluso pensaron en la seguridad mientras lo configuraban.

    
respondido por el Apollo 10.06.2016 - 17:13
fuente
1

Primero que todo: manera demasiado amplia de una pregunta. Incluso imaginando escenarios, cualquier cosa podría estar sucediendo. A veces respondemos preguntas generales sobre lo que podría suceder, pero esto es demasiado.

  • ¿Quién sabe? No creo que ninguno de nosotros sea el propietario del gimnasio, así que no podríamos saber cómo funciona el sistema. Tal vez todos tengan el mismo pin, por lo que sabemos. Incluso si los pines son únicos y están perfectamente aleatorizados, entonces sí, existe la posibilidad de que alguien tenga your_pin + 1 (la probabilidad depende de si puedes elegir el mismo pin nuevamente o no, etc.)

  • De nuevo, depende del sistema. Todos los miembros de 999999 podrían tener el mismo pin, o cada número posible podría terminar siendo un pin de trabajo.

Solo para que esta pregunta pueda ser útil: no hay absolutamente nada malo sistema diseñado . Todo esto es relativo: la gestión de seguridad adecuada debe coincidir con el sistema, las necesidades y el contexto, y por lo tanto requiere un análisis de riesgos adecuado. No puedes saber si un sistema está mal diseñado o no sin tener una idea de lo que está en juego.

Por ejemplo, podrías:

  • Exigir al miembro del gimnasio que inicie sesión en un sitio web a través de SSL y obtenga la primera parte de su código aquí. El sitio web, por supuesto, habría sido auditado para detectar vulnerabilidades clásicas relacionadas con software / SQL / XSS / CSRF.
  • Luego, la segunda parte del código llegaría a través de SMS en el teléfono del usuario
  • La tercera parte viene a través de una carta en la dirección que le dio
  • La cuarta parte la da directamente el propietario del gimnasio después de que confirme sus impresiones y haga coincidir sus registros

Luego llegarías al gimnasio donde te espera un teclado y debes ingresar tu contraseña de 60 caracteres.

¿Esto sería seguro? Por supuesto. ¿Es esto necesario? Usted me dice.

    
respondido por el MadWard 10.06.2016 - 17:18
fuente

Lea otras preguntas en las etiquetas

Utilizando un script index.php en mi aplicación iOS, ¿qué debo hacer para asegurarlo? ¿El servicio en la nube de MEGA dice TODA la verdad? [cerrado]