¿Cómo mantienen las aplicaciones móviles sesiones tan largas mientras aún se consideran seguras?

8

Hoy abrí mi aplicación Amazon iOS por primera vez en varios meses, y pude pasar directamente por la caja (donde pude ver y actualizar mi dirección) sin que se me pidiera que volviera a autenticar. ¿Cómo es eso posible sin dejar de ser seguro, así como compatible con PCI?

    
pregunta Andrew Schmitt 01.06.2017 - 01:31
fuente

3 respuestas

6

Hay dos medidas de seguridad específicas que lo ayudan a protegerse contra los ataques de secuestro y robo de sesión que le preocupan:

  1. Los tokens de autenticación pueden estar vinculados al dispositivo, ya que la aplicación móvil tiene un acceso fácil con respecto a la cuenta (móvil) y la ID específica del dispositivo (UDID), el token de autenticación se puede revocar fácilmente si se usa para el dispositivo incorrecto o en el contexto equivocado. Esto no es técnicamente una restricción infalible porque el servicio real se está produciendo a través de llamadas HTTP (que un usuario malintencionado puede falsificar), pero esto significa que, en realidad, aprovechar un token de autenticación robado requerirá cosas como: el token de autenticación , el UDID del dispositivo (y potencialmente más información de identificación), y un conocimiento detallado de las llamadas a la API utilizadas por Amazon para realizar pedidos. El riesgo es definitivamente bajo.
  2. La otra protección es que Amazon no solo te permite cambiar direcciones. Incluso si alguien obtuvo acceso a su cuenta, no pueden simplemente realizar un pedido. Una medida de seguridad general que Amazon ha implementado durante mucho tiempo es que si se envía un pedido a una nueva dirección, debe volver a ingresar cualquier número de tarjeta de crédito almacenado. Esto hace que sea imposible enviarte cosas si obtienes acceso a la cuenta de otra persona. Por supuesto, podría evitar esto si también tuviera acceso a la información de su tarjeta de crédito, pero como todos sabemos, en ese momento el usuario malintencionado no se molestaría en usar su cuenta para realizar el pedido fraudulento.

En resumen, el riesgo real para Amazon por hacer esto es muy bajo, y la pérdida potencial de ingresos debido a que la gente vuelva a iniciar sesión (estoy seguro) es mucho mayor, por lo que dejan que las sesiones duraderas persistan en sus servidores.

Vale la pena señalar que hay más en juego aquí que simplemente pedidos fraudulentos. Este vale la pena leerlo:

enlace

    
respondido por el Conor Mancone 01.06.2017 - 12:48
fuente
4

La seguridad no es una proposición binaria; es decir, las cosas no son "seguras" o "inseguras", pero caen en algún lugar en un espectro de seguridad.

Por lo tanto, alguien en Amazon ha determinado que mantener las sesiones móviles con vida durante varios meses, y que no es necesario volver a enviarlas, es lo suficientemente seguro como . Desde su perspectiva, esto probablemente sea un equilibrio entre el costo (muy real monetario) de obligar a los usuarios a volver a autenticarse y el costo (muy real) de los teléfonos robados por los usuarios que realizan pedidos fraudulentos. Sospecho que también tienen implementada una detección de fraude adicional que marcará los pedidos sospechosos, reduciendo el costo de un teléfono robado autorizado por Amazon.

No estoy muy familiarizado con los aspectos específicos de PCI-DSS, pero no creo que tenga ninguna disposición que se aplique en esta situación.

    
respondido por el Xiong Chiamiov 01.06.2017 - 04:24
fuente
1

La seguridad es un concepto relativo. El equilibrio se encuentra a menudo en algún lugar entre la conveniencia y la percepción de amenaza (¡ambos son dominios subjetivos!).

En general, yo diría que las aplicaciones móviles que mantienen sesiones autenticadas durante largos períodos de tiempo no son "tan seguras como podrían ser" si expiraran esas sesiones con más frecuencia.

Sin embargo, es útil examinar las dos amenazas principales contra las cuales la expiración de la sesión es una protección:

  1. Cierto (no todo) uso compartido de escenarios de dispositivos
  2. secuestro de sesión

Los dispositivos móviles son en su mayoría dispositivos personales, las aplicaciones móviles tienen una exposición a amenazas relativamente menor que, por ejemplo, una pestaña del navegador en una computadora portátil / sistema de escritorio, donde otro usuario podría (con mayor probabilidad) usar el sistema, abrir una pestaña del historial y encontrar una Cuenta registrada.

Existen otras protecciones contra el secuestro de sesiones, como el uso de nonces por conversación y la detección de cambio de IP del cliente (controvertido). Si una aplicación específica usa alguna protección contra esto o no es un detalle importante pero a menudo falta. :)

    
respondido por el Sas3 01.06.2017 - 04:51
fuente

Lea otras preguntas en las etiquetas