Contramedidas para un ataque de un miembro de la familia en un procedimiento de restablecimiento de contraseña

6

Dados los procedimientos de restablecimiento de una cuenta, generalmente hay algunas preguntas de recuperación, y en mejores implementaciones se enviará un enlace para confirmar el cambio de contraseña por correo electrónico o SMS. Por lo tanto, el atacante necesita información y acceso para utilizar el mecanismo de restablecimiento de contraseña para una toma de control de la cuenta.

Estos controles suelen ser muy útiles contra un atacante aleatorio en Internet, pero quiero centrarme en cuando un miembro de la familia es el atacante (por ejemplo, un padre que intenta ingresar a la cuenta del niño, un novio o una novia que intenta obtener acceso a la cuenta, etc.). En este escenario, es muy probable que la persona sepa la respuesta a cualquier pregunta personal (nombre de soltera de la madre, primer auto, maestra de tercer grado) y también es probable que tenga acceso físico al teléfono o PC de la víctima. Supongamos también que la víctima no es una persona preocupada por la seguridad, por lo que dejan su correo electrónico abierto en una pestaña y no tiene una contraseña de salvapantallas y su teléfono está protegido por un pin que es su cumpleaños.

Como persona de seguridad, siempre pongo en suspenso las respuestas a las preguntas de seguridad y almaceno las respuestas con cifrado, pero como la víctima realmente no quiere lidiar con un administrador de contraseñas, no sabe qué es el cifrado, etc. . No podemos confiar en que el usuario tome contramedidas para protegerse a sí mismo ya que la víctima puede legítimamente necesitar usar estas respuestas para recuperar su cuenta.

Sabiendo que existe un problema de seguridad física y que la información no es bien conocida, qué contramedidas o controles puede implementar el proveedor del servicio para ayudar a proteger al usuario de un atacante que es un miembro de la familia / amigo con acceso físico.

Las respuestas deben estar en el lado del proveedor de servicios, ya que el objetivo es proteger a un usuario final no sofisticado.

    
pregunta Eric G 15.04.2015 - 00:47
fuente

1 respuesta

1

Los dos métodos principales que he considerado para esto son:

1. Preguntas definidas por el usuario

La mayoría de las preguntas predeterminadas que veo en los sitios parecen ser las mismas o muy similares, fácilmente investigables a través de las redes sociales, etc. Generalmente, creo que permitir que los usuarios escriban sus propias preguntas de seguridad sería mejor con cierta orientación. por ejemplo, "Hagan dos preguntas, hágales cosas que nadie más sabría, ni siquiera su madre". El usuario aún podría terminar con malas preguntas, pero al menos un porcentaje de los usuarios será astuto y proporcionará una mejora general en la población de usuarios

2. Verificación de la acción del sitio privado

Si bien una gran cantidad de actividad en un sitio web de redes sociales puede ser pública, incluso en tales sitios, a menudo hay una actividad que el usuario realiza de forma privada o conocida solo por el usuario. No hay ninguna razón para que el usuario comparta esta información con nadie y es específica del sitio. Por ejemplo, en un sitio web bancario puede pedirles que verifiquen el monto pagado en una factura de servicios públicos. Incluso darles la opción de tres valores y un "ninguno de los anteriores" proporciona cierto grado de protección. Por supuesto, en ese caso particular, la factura puede venir por correo o puede ser un gasto compartido. Una pregunta potencialmente mejor podría ser "¿Quién fue la última persona a la que le enviaste un mensaje privado?" ya que esto no es público por definición, pero un miembro de la familia que sepa quiénes son sus mejores amigos puede adivinarlo.

    
respondido por el Eric G 15.04.2015 - 00:52
fuente

Lea otras preguntas en las etiquetas