Correo electrónico de recuperación para servicios de correo electrónico

Navega tus respuestas
5

El famoso hackeo de Mat Honan me hizo pensar en e -la recuperación de la contraseña del correo electrónico, y cómo cualquier enlace en la cadena puede romper todos los enlaces que la preceden. En el ejemplo de Mat, ese enlace resultó ser el último y toda la cadena se rompió.

Específicamente, Mat usó su dirección de GMail como el correo electrónico de recuperación para todos sus servicios, y usó su correo electrónico de Apple como la dirección de recuperación de GMail. Por lo tanto, una vez que se comprometió su cuenta de correo electrónico de Apple, GMail se vio comprometida, y todos sus servicios pronto siguieron.

Entiendo la necesidad de recuperación de correo electrónico para servicios web en general. Sin embargo, usar una dirección de recuperación de correo electrónico para un servicio de correo electrónico suena como agregar un enlace redundante a la cadena, duplicar sus puntos de vulnerabilidad (ahora su atacante puede piratear su principal o su recuperación). cuenta de correo electrónico). Además, ¿cuál es el correo electrónico de recuperación que utiliza para su correo de recuperación? Tener un correo electrónico de recuperación de recuperación agrega otro punto de falla, y cuando finalmente detiene la cadena y no usa uno, ¡puede descubrir que está bloqueado cuando más lo necesita!

Es cierto que el atacante puede no saber la dirección del correo de recuperación, pero como lo demostró el caso de Mat, puede deducirlo (en su caso, averiguar el patrón ofuscado de Google, donde ocultan algunos de los caracteres). Y si hace que les sea difícil deducirlos, también lo está haciendo a USTED. La mayoría de nosotros usamos una única dirección de correo electrónico, y si configura una dirección especial solo para fines de verificación, es probable que olvide unos años después.

Tuve un par de ideas:

  1. No utilice un correo electrónico de recuperación para su correo electrónico principal. Simplemente active la autenticación de 2 factores y conviértalo en su enlace más fuerte (que de todos modos debería hacer con todos sus servicios importantes).
  2. Usa la dirección de correo electrónico de un amigo. Si tiene un amigo / familiar que sepa que se preocupa por la seguridad tanto como usted (y, por lo tanto, también tiene una configuración de autenticación de 2 hechos), puede usar su dirección. Ahora un atacante tiene que piratear a dos personas, y es muy poco probable que adivine qué correo necesita piratear. Sin embargo, es probable que lo reconozcas de inmediato (supongo que podrías perder el contacto con eso Amigo después de muchos años, así que quizás un miembro de la familia sea preferible aquí. Incluso podría configurarse entre sí como habilitadores de recuperación mutua.

Me encantaría escuchar sus pensamientos sobre mi análisis.

    
pregunta t0x1n 26.08.2014 - 23:48
fuente

3 respuestas

4

Como dije, un comentario completo para @JeffClayton por usar una cuenta de correo electrónico EXCLUSIVAMENTE para la recuperación de la contraseña. Sin embargo, para mayor seguridad:

Todos los meses, instale una nueva versión de TAILS en una unidad USB. Use TAILS para hacer la cuenta, y TAILS para acceder a ella. Tan pronto como tenga la nueva instalación de TAILS en el disco, reiníciela y cambie su contraseña (es decir, todos los meses). Cuando cambie su contraseña, tenga en cuenta que la mayoría de las contraseñas se ajustan a un cierto conjunto limitado de reglas: generalmente se basan en 1 a 3 palabras, generalmente palabras que son personales para usted, y generalmente terminan en un número personaje especial. Por lo tanto, sugiero que escoja 4-5 palabras aleatorias del diccionario y que coloque sus números y caracteres especiales en algún lugar en medio de la cadena (tal vez un número aleatorio de 3 dígitos entre cada palabra). Luego, incluso si el servidor está comprometido, siempre que implementen un buen hashing / encriptación, debería sentirse bastante seguro.

Obviamente, solo debes usar direcciones de correo electrónico desechables (no asociadas con ninguna otra cuenta) para los sitios donde cualquier persona pueda VER tu dirección de correo electrónico.

    
respondido por el KnightOfNi 27.08.2014 - 02:32
fuente
4

No consideraría que usar un correo electrónico de un familiar o amigo sea una buena idea, por las razones que mencionas o simplemente si alguna vez cambian una contraseña. Yo crearía una nueva dirección de correo electrónico y la utilizaría, pero sin ningún otro propósito. De esa forma tampoco estarías poniendo en riesgo a otros.

2-Factor no es una mala idea. Cuanto más difícil sea que un atacante lo comprometa, a menudo agregando un toque personal, mejor se encuentra usted. Nunca hay nada completamente seguro basado en la determinación y el nivel de habilidad de una persona o equipo de personas decididas a intervenir, pero al requerir pasos y demorar sus esfuerzos se obtiene más tiempo para la detección de intrusiones y las medidas de respuesta.

Si tiene más de una cuenta en línea, como una cuenta bancaria, una cuenta de PayPal y una cuenta de correo electrónico principal, por ejemplo (entre otras), puede ser inteligente tener diferentes direcciones de correo electrónico para la recuperación de cada una. De esa manera, si uno está comprometido, los otros no están comprometidos también.

    
respondido por el Jeff Clayton 27.08.2014 - 01:55
fuente
-1

La idea general para la recuperación de la contraseña de correo electrónico es la difusión del riesgo, o más bien la dilución del riesgo a través de la diversificación. A decir verdad, la probabilidad de que alguien se agriete en 2 cuentas separadas es menor que dividirse en una. Es otra forma en que los proveedores pueden llevar la responsabilidad al usuario final y a otros proveedores.

    
respondido por el munchkin 30.04.2015 - 04:35
fuente

Lea otras preguntas en las etiquetas

Interrumpir los intentos de secureserver.net ¿Cómo se puede explotar WebView de Android y cómo proteger mi aplicación de la vulnerabilidad de WebView?