it-swarm-tr.com

Parola sıfırlamaları - web hizmetleri hangi uygulamaları izlemelidir?

Birçoğunuz bir Kablolu muhabirin Amazon, Apple, Gmail ve Twitter hesaplarının başarıyla saldırıya uğradığı Nasıl Apple ve Amazon Güvenlik Kusurları Epic Hacking'ime Yol Açtı görmüş olabilir Bilgisayar korsanı, bir sonraki web hizmetinde muhabirin hesabına saldırmak için gerekli bilgileri elde etmek amacıyla her bir adımda, bir web hizmetindeki parola kurtarma işlemini kullanarak ayrıntılı adımlar dizisini izledi. Saldırgan, farklı hizmetler arasındaki varyasyondan başarıyla yararlanabilir. Parola sıfırlama gerçekleştirmek için gerekenleri, saldırısını zincirlemek ve sonunda kötü Kablolu muhabire felaketli bir saldırı gerçekleştirmek için gerekenler.

Bunun ışığında, şifre sıfırlama işlevlerini korumak ve böyle bir hatanın tekrarlanmasını önlemek için web hizmetleri hangi uygulamaları izlemelidir? Bunun bir daha gerçekleşmemesi için endüstrinin ne yapması gerekiyor?

26
D.W.

Aslında bu alanda bazı fikirler üzerinde çalışıyorum, bu yüzden şimdiye kadar düşüncelerimin bir dökümü. Bu cevabın saçma uzunluğu için şimdiden özür dilerim.

Şifre sıfırlama mekanizmaları üç ana hedef göz önünde bulundurularak tasarlanmalıdır:

  • Güvenlik
  • Kullanılabilirlik
  • Güvenilirlik

İyi bir mekanizma için, üçü arasında bir dengeye ulaşmamız gerekir.

Başlamadan önce yapmak istediğim birkaç iddia:

Doğru, gerçek cevaba!


1. Çok faktörlü kimlik doğrulama

Çok faktörlü kimlik doğrulama (MFA), hesap kurtarma ve genel olarak insan kimlik doğrulaması için en güvenli yöntemlerden biridir. MFA'ya aşina olmayanlarınız için, kimlik doğrulaması için birden fazla kimlik bilgisine sahip olmanız gerektiği ilkesi üzerinde çalışır:

  • Bildiğiniz bir şey (ör. Şifre, gizli cevap)
  • Sahip olduğunuz bir şey (örneğin, anahtar, donanım belirteci vb.)
  • Olduğunuz bir şey (örneğin parmak izi)

Bir türden birden fazlasına sahip olmanın, ör. iki şifre veya bir şifre ve bir PIN, MFA olarak sayılmaz . Sana bakıyorum, çevrimiçi bankacılık siteleri.

1.1. Bildiğin bir şey

Bir parolayı sıfırlarken, kullanıcının kimliğini doğrulamanın yaygın bir yolu onlara sormaktır bazı sorular . Ne yazık ki, bu sorular genellikle "Hangi okula gittin?" ve "Annenizin kızlık soyadı nedir?". Bu saldırganların sosyal ağ üzerinden öğrenmesi inanılmaz derecede kolaydır. Ayrıca, birçok kullanıcı kaydolurken bu soruları cevaplamaktan hoşlanmamaktadır, bu yüzden sadece bir grup tuşa basar ve sorunun amacını geçersiz kılar.

E-ticaret web uygulamaları ve özel kişisel bilgileri (örneğin adres/telefon numarası) depolayan diğer web uygulamaları için bu bilgiler istenebilir. Ancak, bu bilgilerin çevrimiçi olarak da bulunabileceğini unutmayın.

Bir alternatif, kullanıcının sitedeki deneyimine dayanarak bağlamsal sorular sormak olabilir. Örneğin, Hotmail yakın zamanda iletişim kurduğunuz bir e-posta adresini ve hesabınızdaki etkinlikle ilgili diğer bilgileri ister. Bu, çoğu webapp türünde oldukça uyarlanabilir, ancak her zaman geçerli değildir.

1.2. Sahip olduğunuz bir şey

Çoğu zaman siteler, e-posta adresinize bir bağlantı veya bir kerelik şifre e-posta ile göndermeyi bir MFA biçimi olarak tanımlar. Bunun yanlış bir varsayım olduğunu iddia ediyorum. Kullanıcılar hesaplar arasında şifreleri paylaşır. Bu mutlak bir gerçektir ve bunu önleyemezsiniz. Bu nedenle, bir saldırganın kullanıcının e-posta adresine zaten erişimi olduğunu varsaymalısınız. Bunun sonuçlarını daha sonra ele alacağız.

Cep telefonlarının çoğalması, bant dışı bir kontrol biçimi olarak onları iki faktörlü kimlik doğrulama için harika bir mekanizma haline getirdi. SMS sıfırlama belirteçleri kullanıcının anlaması ve kullanması kolaydır ve telefona erişimi olan bir saldırgan olası değildir. Ancak, bu yöntem kusursuz değildir. Bu, telefonu kullanılabilir bir sıfırlama cihazı olarak tamamen geçersiz kılar.Diğer bir sorun, kullanıcıların telefonlarını her zaman yanlarında bulundurmamasıdır.

Akıllı telefonlarda bir uygulama kullanmak bu sorunu kısmen giderir. Bir kullanıcı sağlayıcısını değiştirirse uygulama telefonda kalır. Hem SMS tabanlı hem de uygulama tabanlı sıfırlamaya izin vermek makul bir güvenilirlik beklentisi sağlar.

Alternatif olarak, kullanıcının bir oturum açma sağlayıcısı hesabını (ör. OpenID) ilişkilendirmesine izin verin ve bu hesap için "bildiğiniz bir şey" kanıtı olarak geçerli bir oturum açın.

Diğer potansiyel mekanizmalar:

  • Fiziksel belirteç (ör. RSA SecurID , USB belirteci) - çoğu yer için tam olarak geçerli değildir, ancak bankalar, dahili şirket sistemleri ve diğer yüksek güvenlikli durumlar için yararlıdır.
  • Dosya - Kayıt sırasında kullanıcıya verilen rastgele oluşturulmuş dosya. Hash veritabanında saklanır. Sıfırlamadan sonra kullanıcı dosya sağlamasını istedi. En iyi kullanılabilirlik veya güvenlik değil, potansiyel olarak yararlı.

1.3. Sen bir şeysin

İşlerin eğlenceli ve bilim kurguladığı yer burası. Biyometrik kimlik doğrulama son zamanlarda daha popüler hale gelen bir şey. Oldukça az sayıda dizüstü bilgisayar parmak izi tarayıcıları içerir ve nispeten küçük bir maliyetle ucuz USB'leri alabilirsiniz. Bir başka popüler biyometrik mekanizma web kamerası aracılığıyla yüz tanımadır. Her ikisi de doğru yapıldığında güvenlik açısından mükemmel, ancak her ikisinin de birkaç sorunu var:

  • Çoğu uygulama olasılıklıdır ve bu nedenle güvensizdir. Bir saldırganın yüzünüzün bir fotoğrafını kameraya tutmasını engelleyen nedir?
  • Parmak izi tarayıcısı olan ve her biri birbiriyle uyumlu olmayan her kullanıcıya güvenemezsiniz. Ayrıca, donanım ile arayüz oluşturuyorsunuz, bu nedenle web uygulamanızla konuşmak için yerel bir uygulama gerektirir.
  • Biyometri alanı nispeten yenidir, bu nedenle tam olarak anlaşılmış güvenlik modellerine sahip, iyi araştırılmış, iyi çalışılmış uygulamalar yoktur.

Sonuç olarak, "olduğunuz bir şey" modeli yüz yüze tanımlama için çalışır, ancak müşterilerinize parmak izi tarayıcıları ve uygun yazılım sağlamadığınız sürece web uygulamaları için gerçekten uygun değildir.

1.4. MFA en iyi uygulamaları

Tek faktörlü kimlik doğrulama yeterli değildir. tümütheson zamanlardaihlal 'den gördüğümüz gibi, şifreleri güvende tutmak zordur ve hatta' yine kırılmış olabilirler. MFA her ikisi de giriş ve şifre kurtarma için gereklidir. Kurtarma amacıyla mobil kimlik doğrulaması, mobil cihaz hala kullanılabilir olduğu sürece çoğu sorunu çözer. Mobil kimlik doğrulamanın mümkün olmaması durumunda, bir insanı gerçek olduklarına ikna etmek zorunda oldukları manuel bir doğrulama sürecine sahip olmalısınız. anlaştık mı.


2. Sıfırlama mekanizmaları

Güvenlik açısından bir çok farklı şifre sıfırlama yöntemi vardır. Vahşi doğada gördüğüm bazıları tartışacağım, iyi ve kötü noktalarını açıklayacağım ve daha iyi olanları önereceğim.

2.1. Parolayı geri e-postayla gönderme

En temel mekanizma kullanıcının şifresini onlara e-postayla göndermektir. Lütfen bunu asla yapma . Bu korkunç ölçünün ötesinde . İlk olarak, şifreleri açık metin olarak veya en azından geri dönüşümlü bir biçimde saklamanızı gerektirir. Siz karma parolaları doğru şekilde ve tuzlama için en iyi uygulamalar öğesini uygulamanız gerekir. İkincisi, kullanıcının şifresini bir açık metin protokolü üzerinden açık metin olarak internet üzerinden e-posta ile gönderiyorsunuz. Bunu yapan insanlar için ayrılmış özel bir cehennem seviyesi var.

2.2. Yeni bir şifre oluşturma

Bazı siteler yeni bir rasgele şifre oluşturur, onu hash eder, sonra kullanıcıya e-postayla gönderir. Bu, birkaç nedenden ötürü iyi bir fikir değildir, ancak birçoğu bir şekilde hafifletilebilir. En temel sorun, bir kullanıcıya düz metin olarak kullanılabilir bir şifre göndermenizdir. Bu yöntemle ilgili diğer sorunlar şunlardır:

  • Birçok kullanıcı tembeldir, oldukça azı sıfırlanır ve tarayıcıya rastgele şifreyi hatırlamasını söyler.
  • Birçok site, parolayı ilk kez kullandığınızda parolayı değiştirmeye zorlamaz.
  • E-posta hesabına erişimi olan bir saldırgan, kullanıcının kimliğini doğrulamak için kullandığınız mekanizmalara bakılmaksızın parolaya erişebilir.

2.3. Sıfırlama bağlantısı

Bu daha iyi (ve neyse ki daha popüler) mekanizmalardan biridir. Kullanıcının kimliğini doğrulamayı ve ardından bir kerelik sıfırlama bağlantısı göndermesini içerir. Sıfırlama bağlantısı kullanıldığında, kullanıcıdan yeni bir parola ayarlaması istenir. Bu yapıldıktan sonra bağlantı geçersizdir. Bağlantılara süre sonu süreleri ekleyerek ve kullanıcının oturumunun zaman aşımından sonra bağlantının veya ayarlandıktan sonra bağlantının geçersiz olmasını sağlayarak daha fazla güvenlik sağlanabilir.

Bu yöntemin çöküşü, önceki varsayımımızı hatırladığımız zamandır. Kullanıcının e-posta hesabı güvenli değil. "Bildiğiniz bir şey" olarak sayılmaz. Bir saldırganın zaman penceresi kısa olsa da, yine de içeri girebilirler. Elbette, kullanıcı e-posta parolasını unutursa (veya daha doğrusu,) bunların tümü geçersiz kılınır.

2.4. Siteden asla ayrılmayın

Bu kutsal kâse, gerçekten, ama sadece güçlü çok faktörlü kimlik doğrulamanın yanında kullanılabilir. Kullanıcı bir dizi güvenlik sorusu, bant dışı kontroller (örn. Cep telefonu), anahtar dosyalar, biyometri, insan doğrulaması vb. Bir arada kullanarak kimlik doğrulaması yaptığında hemen bir şifre değiştirme formuna yönlendirilir. Bu, e-posta adreslerini kullanma ihtiyacını tamamen atlar.

Bir bağlantı göndermek için bir e-posta adresi kullanmanın gerçekten gerekli olduğuna inanıyorsanız, geçmeniz gereken kontrol sayısını artıran bir e-posta sıfırlama seçeneği sunmayı düşünün.


3. Sonuç

Güvenliği, kullanılabilirliği ve güvenilirliği en iyi şekilde dengelemek zordur, ancak bu durum doğrudan zaten güvenilmez olduğu kanıtlanmış bir kullanıcıyla doğrudan ilgilidir. Bunu herhangi bir şekilde küçümseme anlamında söylemiyorum, aksine hepimiz hata yapabiliriz.

Güvenlikten ödün vermeden şifre sıfırlama sistemini kullanılabilir ve basit tutmak önemlidir. Web uygulamanızın her alanında büyük bir 3 faktörlü kimlik doğrulama işlemi uygulamadan önce, neleri koruduğunuzu düşünün. Yalnızca çevrimiçi bir şeyler satan küçük bir şirketseniz, muhtemelen kurtarma konusunda temel 2 faktörden kurtulabilirsiniz. Büyük bir perakendeci, banka veya sosyal ağ sitesiyseniz, kurtarmada güçlü 2 faktör (her birinin birden çok türü) ve tanınmayan kaynaklardan gelen girişlerde 2 faktör kullanmalısınız.

Bir cümleyle: basit tutun, kitlenizi düşünün.

27
Polynomial

"Destansı hack'le ilgili sorun, birden fazla hesabın (Twitter, gmail) bir hesaba (icloud) bağlanmış olmasıydı ve bu durum, ele geçirilen bilgisayar korsanlarının bağlantılı hesaplar için şifre sıfırlama bağlantıları istemesine ve engellemesine olanak tanımıştır.

Böyle bir senaryoya (diğer hesaplar için referans olarak kullanılan bir e-posta hesabının ele geçirildiği) karşı çıkmak istiyorsanız, Google tarafından sunulan 2factor kimlik doğrulamasını kullanmaktan başka bir yol yoktur. Sosyal mühendislik yoluyla elde edilen geçici şifre icloud hesabının sahibinin cep telefonuna gönderilseydi, bunların hiçbiri olmazdı.

7
twobeers

Bence, bir web servisinin şifre sıfırlama işlevini basit bir nedenden ötürü korumak için yapabileceği başka bir şey yok, kullanıcı.

En sık şifre sıfırlama şekli olarak bulduğumu düşünelim: gizli soru. Genellikle oynayan 2 senaryo vardır.

1) Soruyu doğru cevaplayın - birçok kullanıcı bu rotayı seçer. Ne yazık ki, en gizli soruların cevaplarını internetten kazmak inanılmaz derecede kolaydır. İlk okulunuz veya annenizin kızlık soyadı gibi bilgiler sır değildir. Saldırganlar basit çevrimiçi aramalar yaparak bu tür bilgileri kolayca kazabilirler. Bu gizli soruyu işe yaramaz hale getirir.

2) Soruyu çöple cevaplayın, sonra cevabı unutun - tanıdığım çoğu insan ben de dahil bunu yapıyor. Bu, gizli soruyu, şifre sıfırlama isteğinin meşruiyetini doğrulamak için kullanılamadığından etkili bir şekilde işe yaramaz hale getirir.

Gizli soruyu ele almanın en iyi yolu çöple cevaplamaktır, ama unutmamak için bir yere yazın. Bununla birlikte, çoğu kullanıcı bunu yapmaz, çünkü esasen bir şey oluncaya kadar güvenliği umursamamaktadır.

Parola sıfırlamayı tetiklemenin diğer yaygın yolları nelerdir?

E-posta - birçok hizmet, hesabınızı bir "kurtarma" e-postasına bağlar. Ancak, kurtarma e-postasının şifresini unutursanız ne olur? Hiç bitmeyen bir zincir.

İki faktörlü kimlik doğrulama gibi daha güvenli yöntemlerin çoğu kullanıcılar için bir güçlüktür. Web servisleri kullanılabilirliği ve güvenliği değerlendirmelidir. Sonuçta, kimse kullanmazsa, hacklenemez bir web hizmetine sahip olmanın anlamı nedir?

Bu makaledeki ana kusur, yazarın bir e-postaya bağlı birden fazla hesabı olması ve saldırganın tüm çevrimiçi hesaplarını kolayca tehlikeye atmasına izin vermesidir. Çevrimiçi kimliklerinizi mümkün olduğunca merkezileştirmeye çalışın. Ancak, bu kullanıcının sorumluluğu haline gelir.

Güvenliğin web hizmetlerinin temel kaygısı olması gerektiğini düşünmek istediğimiz kadar, kullanılabilirlik bakış açısını göz önünde bulundurmalıyız. Genel güvenlik, son kullanıcılar ne kadar önemli olduğunun farkına varıncaya ve kendilerini korumak için adımlar atıncaya kadar iyileşmeyecektir. Sonuçta, bir hizmet sağlayıcısının yapabileceği çok şey var.

6
user10211

Pratikte, e-postalarını her şeyi kesmek için kullandılar. Bu nedenle, akıllı izinsiz giriş tespiti ve şifre kurtarma işleminden korunan e-postanızı güvenli, kendi başınıza en iyi şekilde tutmak, bu durumda bu tür saldırıları önler.

Aynı şey buluttaki verileriniz için de geçerlidir. Anahtar yönetimi gibi akıllı şifreleme ve sistem koruması, uzak yedeklemeleri ve anlık görüntüleri güvenli tutmanın yanı sıra papatya dizimi için de mümkün değil.

Bu iki anahtar belge ve iletişim güvenli olmalıdır, bu nedenle profesyonel kullanım için bulut için uygun değildir, çünkü biri onu siler ve işte budur. Bu nedenle en iyisi, yasal olarak kurtarabileceğiniz bir işletme/kişisel alan adı kullanmaktır.

Yasal olarak, fiziksel olarak, akıllı otomasyonla korunmasını sağlayarak, iş kullanımı için kullanabilirsiniz ve saldırıya uğradıysanız, temel olarak e-posta yoluyla şifre kurtarma konusunda farkında olmalıdır, temel olarak web postanızda şifre kurtarma işlemini başka bir posta kutusuna filtrelemeniz gerekir. güvenli olmak için ssh üzerinden erişmeniz gerekir.

Elma ne olacak? Bu, Apple uzaktan kumanda ile çocuklar için donanım kullandığınızda olur. İPod için iyi bir çözümdür, ancak gerçek PC dünyasında çalışmaz. Microsoft veri toplarken herkes nasıl rahatsız oldu, ancak şimdi Apple tüm uygulamalar kontrol altında ve bir dereceye kadar sorun değil, ama esas olarak ev eğlencesi ve eğlence için, profesyonel bir iş değil. OSX'in güvenlik sıçraması çok büyük ve hiç de şaşırtıcı değil OSX'in platformlar arası bir şekilde saldırıya uğradığını.

Güvenli bir e-posta için, en iyisi saygın şirkette alan adına sahip olmaktır, bu yüzden de hacklenemez.

2
Andrew Smith