IT solo dará la contraseña por teléfono, pero ¿es eso realmente más seguro que el correo electrónico?

Los correos electrónicos se guardan en algún lugar, ya sea en un servidor de correo o en la computadora personal de alguien. Las llamadas telefónicas generalmente no lo son, a menos que sea un entorno orientado al cliente.

Esta política es común cuando los nombres de usuario y las contraseñas se envían a través de canales separados.

No importa qué canales, siempre que los pares de autenticación se dividan y envíen a través de diferentes métodos.

Esta es la mejor práctica aceptada porque interceptar los dos canales correctos es mucho más difícil que ver un canal para que el par de autenticación simplemente pase.

El razonamiento detrás de esto es que los cambios de contraseña no son solo cuando se olvida una contraseña, sino cuando existe la sospecha de que una cuenta ha sido comprometida. Por este motivo, los cambios de contraseña se realizan "fuera de banda" para garantizar que las actualizaciones de la contraseña no se capturen fácilmente.

En el mundo de la seguridad de TI, a veces no se trata de estar perfectamente seguro. Es aceptable ser lo suficientemente duro como para que los atacantes intenten en otro lugar.

Los correos electrónicos pueden (aunque como señala @Luc, no siempre) enviarse en texto sin formato a través de Internet. Eso significa que pueden ser registrados por su proveedor de correo electrónico, su ISP, el ISP de su destinatario, el proveedor de correo electrónico de su destinatario, o cualquiera de los equipos de redes intermedios. Como remitente, tampoco tiene control sobre quién está mirando por encima del hombro de la persona cuando abre el correo electrónico.

Con una llamada telefónica, tiene más control sobre la verificación de que está hablando con la persona correcta, pueden negarse a responder si se encuentran en un lugar público, etc. Además, si bien no hay garantías de que no esté siendo registrado, al menos hay una buena posibilidad, a diferencia del correo electrónico que tiene 100% de probabilidad de estar en alguna base de datos en algún lugar.

Incluso si se graban tanto el correo electrónico como la conversación telefónica, es mucho más fácil buscar "contraseña" en una base de datos de correo electrónico que buscar grabaciones de voz.

Sin embargo, las mejores prácticas dicen que una y solo una persona debe conocer la contraseña de una cuenta, y esa es la persona que posee la cuenta. El administrador no debe saberlo, ni el servidor (es decir, la contraseña con hash).

La forma habitual de hacer esto sería: si la contraseña ha caducado recientemente (por un valor dado recientemente), el usuario puede usar su contraseña anterior, pero inmediatamente al autenticarse (antes de iniciar sesión), se les obliga a cambiar su contraseña, luego desconectar inmediatamente. Si la contraseña ha caducado hace algún tiempo, el administrador puede marcar la contraseña caducada como "caducada recientemente" por un breve período de tiempo (por ejemplo, 10 minutos). El administrador no necesita saber cuál es esta contraseña. Si el usuario ha olvidado su contraseña, el administrador puede emitir una contraseña de tiempo corto (por ejemplo, 10 minutos) que también obliga al cambio inmediato de la contraseña.

Además, si un usuario ha cambiado su propia contraseña en el último año, debe estar exento del cambio (hasta exactamente 1 año después de su último cambio).

La teoría de que una contraseña debe cambiarse una vez al año también es sumamente dudosa, en la mayoría de los casos, si una contraseña está comprometida, generalmente se explota al máximo de forma inmediata. Solo darle a un atacante "solo" 6 meses de acceso (en promedio) parece bastante inútil (o "solo" 6 días para el caso). Esto sugiere una autenticación de 2 factores, y el segundo factor es único cada vez (Google Authenticator, OTP, OPIE, desafío-respuesta, etc.), si vale la pena proteger el recurso.

Un administrador no debe conocer la contraseña de un usuario, si se puede evitar. Si es necesario, deben tener la capacidad de convertirse en otro usuario con su contraseña PROPIA, que luego se escribe en un registro de auditoría. Esto es especialmente importante si hay varios niveles de "administrador" (es decir, si hay personas que pueden cambiar las contraseñas, pero que no afectan el registro de auditoría).

Las ofuscaciones menores (como la seguridad del audio, la imagen, etc.) son peligrosas porque fomentan la complacencia sin seguridad.

En un sistema seguro, las contraseñas proporcionadas por TI solo deben ser temporales, solo una vez, cadenas aleatorias, por lo que el usuario tiene que escribirlas inmediatamente y cambiarlas a su propia contraseña secreta. Nunca debe saber ni transmitir la contraseña "real" de un usuario.

Los usuarios deben ser examinados antes del restablecimiento y eso es mucho más fácil hacerlo mediante una llamada de voz, hacer una pregunta, obtener una respuesta, listo.

Incluso si la temperatura. la contraseña se escucha por casualidad en una llamada, no habría tiempo para que se use. Sin embargo, los correos electrónicos a veces se pasan por alto durante algún tiempo antes de ser leídos, lo que le da al atacante la oportunidad de hacer lo peor.

Además, se puede usar una llamada de voz grabada para identificar si un usuario fue suplantado posteriormente, mientras que no puede saber quién miró una pantalla de correo electrónico abierta o un servidor de correo electrónico remoto.

Mis 10 años de experiencia se encuentran en el entorno de una institución financiera, por lo que este nivel de seguridad puede no tener una justificación económica si las necesidades de seguridad son menos estrictas. Pagar por los organismos de TI es costoso y la mayoría de los sistemas / aplicaciones van a la seguridad basada en la web de todos modos, por lo que los días de restablecimiento de contraseñas de TI por voz están numerados en cualquier caso.

La seguridad de un correo electrónico es difícil de establecer. Lo más probable es que el correo electrónico se guarde en archivos (incluso hay algunas regulaciones para ciertas empresas). Entonces, enviar una contraseña en un correo electrónico es una mala idea desde ese punto de vista. La intercepción de correo electrónico también podría suceder.

Por otro lado, es menos probable que se grabe el teléfono, pero podría existir una intercepción o grabación del teléfono. Así que no es una gran idea. Leí un comentario que dice que las líneas terrestres son más difíciles de usar que los sistemas informáticos, no estaría de acuerdo. Grabar una línea telefónica tradicional es mucho más simple que hackear un servidor remoto. Los teléfonos VOIP requieren una nueva técnica pero tampoco es tan difícil: conecte un concentrador, conecte su PC a un puerto del concentrador, y ahora tiene una copia de todos los paquetes, y el software de decodificación VOIP abunda. Probablemente sea más difícil interceptar la señal de un teléfono celular, pero no sé, no lo he hecho.

Un beneficio (tal vez percibido) de usar el teléfono por correo electrónico es la garantía de que le está dando la contraseña a la persona a la que quiere darle la contraseña. Al ser un administrador del sistema, quien tiene que restablecer las contraseñas, esto es algo que puedo atestiguar. Si envía un correo electrónico, realmente no sabe quién está en el otro extremo. Podría ser un correo electrónico falso, una cuenta pirateada, etc. Si conoce a la persona, puede reconocer la voz de la persona. Puede hacer algunas preguntas para verificar la autenticidad (también puede hacerlo en el correo electrónico, pero hay una sensación de seguridad cuando lo hace por teléfono).

Ahora, tener un administrador que establezca una contraseña y que siga siendo la contraseña y no dejar que el usuario establezca su propia contraseña es realmente una mala práctica, en mi opinión, debido a estos factores de ahora la contraseña debe transmitirse y todo lo que se transmite va para ser la contraseña para siempre después.

¿Hay más en la política? En muchas organizaciones darán una nueva contraseña por teléfono, pero deben conocer la voz de las personas y responder una pregunta (quién es su jefe, cuándo fue su última revisión).

Es algo similar a un proceso de autenticación de múltiples factores.

La lógica que utilizo cuando insisto en usar el teléfono o el texto para enviar la contraseña es que es un segundo canal.

Incluso con todas las inseguridades detalladas anteriormente en el correo electrónico, si el correo electrónico se envió solo con la contraseña, no hay suficiente información para uso malicioso. Sin embargo, si intercepta un correo electrónico que tiene un significado similar a "Su contraseña para la cuenta xxx en el servicio yyy se ha cambiado a zzz", tiene todo lo que necesita para acceder a la cuenta.

En este momento, es mucho más fácil interceptar un correo electrónico. Esto puede cambiar en el futuro, pero por ahora:

• Los correos electrónicos están diseñados para ser almacenados por períodos de tiempo arbitrariamente largos. Puede esperar que al menos uno, si no varios servidores, hayan guardado todos los datos.
• Los correos electrónicos son más fáciles de procesar. Identificar correos electrónicos que contienen contraseñas es relativamente fácil. Identificarlos en las llamadas telefónicas es más difícil. Si un adversario está escuchando, obviamente será trivial capturar la contraseña. Sin embargo, escuchar requiere más recursos.
  • En algún momento, la IA va a hacer esto mucho más fácil. Pero ese no parece ser el caso en este momento.

Realmente depende de tu modelo de amenaza. ¿Qué tan valiosa es esta contraseña? Asumiría que las credenciales bancarias de un multimillonario se protegerían mejor que esto, o información clasificada, pero cuanto más pequeña es, más recursos se invierten para que la información comience a importar.

El principal problema en una llamada telefónica es que las llamadas telefónicas aún son susceptibles a ingeniería social ataques , donde una persona que llama puede engatusar a una persona de confianza para darles acceso

  

En el teléfono, seleccioné un menú automatizado para "obtener ayuda para iniciar sesión en mi cuenta". La representante de servicio al cliente, Christine, fue muy amable y me pidió mi dirección de correo electrónico y mi domicilio para poder trabajar conmigo para acceder a mi cuenta.

     

Creo que encontramos nuestro problema ... ¿Christine solo necesitaba estos dos datos para ingresar a mi cuenta? ¿Sin contraseña? No hay teléfono móvil? ¿Ninguna otra información? ¿Qué es lo que impide que alguien encuentre mi dirección de correo electrónico y mi domicilio desde una base de datos y llame para hacerse cargo de mi cuenta?

Así que nadie puede oler tu correo electrónico (potencialmente sin cifrar), pero todo lo que necesito es su número de teléfono y un poco de información sobre ti y yo podríamos estar haciendo esto

  

Hola, este es Chris Cirefice. He perdido mi inicio de sesión VPN de nuevo. Podría haber jurado que lo escribí, ¿puedes darme uno nuevo? Wow, eso sería genial, déjame conseguir una pluma y un papel ...

Hay varias respuestas correctas sobre por qué el envío de la Contraseña = -valor- en un correo electrónico es malo.

PERO

Nadie está mencionando que si la contraseña es lo suficientemente simple como para ser comunicada fácilmente por voz, probablemente no sea lo suficientemente compleja para ser efectiva y la parte receptora probablemente escriba en un papel ...

Relacionado XKCD # 936: Contraseña compleja corta, ¿O una frase de contraseña larga del diccionario?

Los correos electrónicos generalmente no se guardan, sin embargo, las señales inalámbricas pueden ser hackeadas, así como las líneas telefónicas fijas. La mejor manera de hacerlo es con un sitio web https.