¿Por qué mi proveedor restableció mi contraseña después de que alguien más intentó acceder a mi cuenta?

Navega tus respuestas
36

Recientemente, un proveedor (de servicios de trunking SIP) al que me suscribí me envió un correo electrónico extraño. Afirmó que alguien en otro país intentó restablecer la contraseña de mi cuenta y no pudo responder mi pregunta de seguridad.

La respuesta del proveedor a este evento fue restablecer mi contraseña.

  

Estimado cliente,

     

Hemos recibido una solicitud para restablecer la contraseña de la cuenta "nombre de usuario"   de la dirección IP 41.174.96.79 pero la pregunta de seguridad ingresada fue   inválido.

     

Como medida de seguridad, hemos establecido la contraseña de su cuenta en:   roRy1391

     

Una vez que haya iniciado sesión, se le pedirá que cambie su contraseña   inmediatamente.

(El correo electrónico resultó ser real, y pude iniciar sesión y cambiar mi contraseña correctamente)

Me parece que la respuesta adecuada a tal evento es que el proveedor no haga nada. Después de todo, ¿qué pasaría si este atacante ya hubiera obtenido acceso a mi cuenta de correo electrónico? Entonces habría recibido este correo electrónico y, de todos modos, habría accedido a mi cuenta.

Sin embargo, es posible que haya un factor atenuante. Este proveedor siempre requiere responder a la pregunta de seguridad cada vez que inicie sesión desde una nueva dirección IP. Esto también, en teoría, habría detenido este ataque si el atacante hubiera tenido acceso a este correo electrónico de restablecimiento de contraseña.

¿Fue esta una acción apropiada por parte del proveedor? Si no, ¿qué deberían haber hecho en su lugar, y qué debo decir cuando les grito?

    
pregunta Michael Hampton 31.07.2013 - 20:01
fuente

4 respuestas

55

Esto es una violación absoluta de la seguridad. Incluso si su política era de alguna manera sólida, enviarte la contraseña en texto simple en un correo electrónico significa que el restablecimiento es inútil, y como dijiste, si el atacante tuviera acceso a tu correo electrónico, las preguntas de seguridad no lo harían. t hacer sentadilla.

No deberían haber hecho nada ya que la pregunta de seguridad respondida no era válida. Lo mejor que puedes hacer, IMHO, es ir un paso más allá y bloquear al usuario para que no responda preguntas durante un período definido. Notificarle es un paso adecuado, pero cambiar la contraseña simplemente lo hace inútil.

Les haré una pregunta simple: "si me enviarán (o alguien que pretenda tener acceso a mi correo electrónico) una contraseña si yo / alguien más adivina la pregunta de seguridad, ¿cuál es el punto? de preguntas de seguridad? "

    
respondido por el Nathan C 31.07.2013 - 20:05
fuente
17

No, no es una respuesta adecuada del ISP. El atacante intentó restablecer la contraseña, lo que muestra que el atacante no sabe la contraseña actual, y en realidad ni siquiera intenta adivinarla. Forzar un restablecimiento de esa contraseña no puede ser bueno: intenta arreglar exactamente la parte del sistema de autenticación que no se rompió.

Si restablecer la contraseña no servirá de nada, puede causar mucho daño, sin embargo. Las contraseñas como texto simple en los correos electrónicos rara vez son una buena idea.

Esta situación parece un buen ejemplo de una "postura de seguridad imperturbable": en caso de duda, pánico.

(¿Tu ISP realmente eligió una contraseña que comienza con "Rory"? Esto desencadena mi sentido de "tonto").

    
respondido por el Thomas Pornin 31.07.2013 - 21:35
fuente
5

El único caso que se me ocurre es que cambiar la contraseña de tal manera que tenga sentido de seguridad es que el usuario haya iniciado sesión en su cuenta cuando intentó cambiar su contraseña.

En ese caso, su contraseña anterior fue potencialmente comprometida, ya que quien haya iniciado sesión conocía esa contraseña pero no la respuesta a su pregunta de seguridad.

    
respondido por el Briguy37 01.08.2013 - 00:12
fuente
2

Esto no es una buena práctica. Sería un poco sospechoso de que el proveedor de SIP de hecho se haya visto comprometido, pero quería salvaguardar o reducir el potencial para una publicidad cuidadosa, posiblemente por ser menos claro / honesto o un poco ambiguo. Básicamente, cambiar su contraseña después de un intento fallido no tiene ningún sentido. Enviarle una nueva contraseña por correo electrónico hace aún menos. Todo esto se sumaría a la búsqueda de un nuevo rpvider SIP si fuera yo.

    
respondido por el Tim X 03.08.2013 - 01:58
fuente

Lea otras preguntas en las etiquetas

convencer a la compañía de no almacenar números de tarjetas de crédito en nuestra aplicación web ¿Cómo ver de manera segura un PDF malicioso?