¿Qué tan seguro es el esquema de inicio de sesión sin contraseña?

7

Algunos sitios web (como medium.com ) ofrecen una experiencia de usuario de inicio de sesión sin contraseña: cuando desee iniciar sesión, 1. simplemente ingrese su correo electrónico, luego 2. se envía un enlace de token de inicio de sesión por correo electrónico, luego 3. hace clic en el enlace y se registra. Contraseña nunca requerida.

¿Qué tan seguro es este esquema de inicio de sesión?

  1. Esquema tradicional (inicio de sesión + contraseña): ¿es posible iniciar sesión en example.com ?

    A Password ok + email access ok => [login OK]
    B Password ok + email access lost (e.g. mail account hacked) => [login OK] 
                                                 + tip: quickly change email in "Settings"
    C Password lost + email access ok => "Forgot my password" system => [login OK]
    D Password lost + email access lost => [login not OK]
    
  2. Esquema sin contraseña: ¿es posible iniciar sesión en example.com ?

    E email acccess ok => [login OK]
    F email acccess lost (e.g. mail account hacked) => [login not OK]
    

Parece que el "esquema sin contraseña" es más vulnerable a perder la cuenta de correo electrónico.

¿Es esto realmente una debilidad? (¿O tal vez hay una solución que no he visto?)

¿Hay alguna manera de mejorar el esquema de inicio de sesión sin contraseña?

PS: No es un dupe de esto pregunta pero no aborda la pregunta de qué sucede cuando se pierde la cuenta de correo electrónico, etc.     

pregunta Basj 14.11.2017 - 10:14
fuente

2 respuestas

4

El mecanismo de protección en el uso de una contraseña cuando se habla de nombre de usuario + contraseña es proporcionar autenticación. Si es suficiente depende del modelo de amenaza.

Cuando utiliza un "esquema sin contraseña" como lo describe, mueve la autenticación inicial a la cuenta de correo con la que se creó la cuenta. Enviar un enlace a la cuenta de correo proporciona posibles vectores de ataque, pero si los ignoramos y nos centramos únicamente en el mecanismo de usar un enlace con un token de sesión, puede ser una forma válida de proporcionar autenticación. En principio, está utilizando la cuenta de correo para la federación de identidad, lo que quiere decir que usted, como usuario, confía en su proveedor de correo y su propio conocimiento sobre el uso del correo cuando utiliza un "esquema sin contraseña".

Usted plantea la pregunta de si el "esquema sin contraseña" es más vulnerable al secuestro de la cuenta de correo. Dado que la cuenta de correo es su único medio de proporcionar identidad y autenticación, es más vulnerable a que la cuenta sea secuestrada por su proveedor de correo que un esquema en el que puede proporcionar un nombre de usuario y contraseña. Sin embargo, el nombre de usuario y la contraseña no son un punto vulnerable en el modelo para la cuenta del sitio web.

Su pregunta sobre si es una debilidad, depende de si el usuario proporciona un medio seguro de uso de la cuenta de correo. El enfoque del inicio de sesión se elimina del sitio web y el usuario confía en el proveedor de correo y el establecimiento de la sesión a través de un enlace con un token de sesión enviado (según el modelo de amenaza y las posibilidades) de un correo cifrado o seguro.

Hacer un esquema como el "esquema sin contraseña" sería mejor introducir un componente de dos factores. Si considera que su enlace con un token de sesión es un factor, podría introducir un mecanismo de validación fuera de banda, como Google Authenticator, FIDO U2F, o un concepto similar, como las claves impresas del sitio web. Esto podría fortalecer la seguridad, pero no haría que la experiencia fuera más fluida.

    
respondido por el RLFP 14.11.2017 - 11:17
fuente
2

La mayoría de los sitios web que utilizan un combo de nombre de usuario y contraseña estándar permiten restablecer la contraseña a través de un enlace de correo electrónico *, por lo que prácticamente proteger la cuenta de correo electrónico de un usuario es vital para su seguridad en la web.

El esquema de

Medium es muy similar al uso de Google (u otro proveedor de correo electrónico) en un esquema de OAuth: usted asume la responsabilidad de proteger la cuenta de la otra parte. Esto introduce un punto único de falla, pero también permite que el usuario confíe en Google (o quien sea) en lugar de en una multitud de pequeñas empresas, que no tienen la misma experiencia técnica o recursos activos de monitoreo de seguridad.

Un giro de los sistemas basados en correo electrónico que he visto es que tienden a usar sesiones permanentes o de larga duración. Un sitio web que utiliza OAuth puede cerrar su sesión cada 30 días, y es fácil volver a iniciar sesión (simplemente haga clic en el botón, ya que probablemente ya esté autenticado con su proveedor), pero navegue al correo electrónico, busque el mensaje correcto y haga clic. Es una barrera suficiente, especialmente en dispositivos móviles, que parece que no cierran la sesión automáticamente a los usuarios con cierta frecuencia. Esto, a su vez, hace que sea mucho más fácil para alguien que una vez obtuvo acceso retener ese acceso.

* Sin embargo, al restablecer la contraseña, el usuario notifica el ataque la próxima vez que intente iniciar sesión.

    
respondido por el Xiong Chiamiov 14.11.2017 - 18:45
fuente

Lea otras preguntas en las etiquetas