Frage:
Warum hat mein Provider mein Passwort zurückgesetzt, nachdem jemand anderes versucht hat, auf mein Konto zuzugreifen?
Michael Hampton
2013-07-31 23:01:10 UTC
view on stackexchange narkive permalink

Kürzlich hat mir ein von mir abonnierter Anbieter (von SIP-Trunking-Diensten) eine seltsame E-Mail gesendet. Es wurde behauptet, dass jemand in einem anderen Land versucht hat, das Passwort auf mein Konto zurückzusetzen, und meine Sicherheitsfrage nicht beantwortet hat.

Die Antwort des Anbieters auf dieses Ereignis bestand darin, mein Passwort zurückzusetzen.

Sehr geehrter Kunde,

Wir haben eine Anfrage zum Zurücksetzen des Passworts für das Konto 'myusername' von der IP-Adresse 41.174.96.79 erhalten, aber die eingegebene Sicherheitsfrage war ungültig.

As Aus Sicherheitsgründen haben wir Ihr Kontokennwort auf Folgendes festgelegt: roRy1391

Sobald Sie sich angemeldet haben, werden Sie aufgefordert, Ihr Kennwort sofort zu ändern.

(Die E-Mail stellte sich heraus um real zu sein, und ich konnte mich erfolgreich anmelden und mein Passwort ändern.)

Es scheint mir, dass die angemessene Antwort auf ein solches Ereignis darin besteht, dass der Anbieter nichts unternimmt. Was wäre, wenn dieser Angreifer bereits Zugriff auf mein E-Mail-Konto erhalten hätte? Dann hätte er diese E-Mail erhalten und trotzdem Zugriff auf mein Konto erhalten.

Es gibt jedoch einen möglicherweise mildernden Faktor. Dieser Anbieter muss die Sicherheitsfrage immer beantworten, wenn Sie sich von einer neuen IP-Adresse aus anmelden. Dies hätte diesen Angriff theoretisch auch gestoppt, wenn der Angreifer Zugriff auf diese E-Mail zum Zurücksetzen des Kennworts erhalten hätte.

War dies eine angemessene Aktion des Anbieters? Wenn nicht, was hätten sie stattdessen tun sollen und was soll ich sagen, wenn ich sie anschreie?

1) absolut sicher, dass die E-Mail-Header richtig sind und die E-Mail wirklich von ihnen stammt (haben Sie angerufen und die Situation überprüft)? 2) Ich stimme Nathan zu, sie hätten dir niemals eine E-Mail mit einem Passwort schicken sollen ... die richtige Vorgehensweise war NICHT, nichts zu tun, sondern eine E-Mail, in der der Versuch und Misserfolg mit einem "Wenn du Fragen oder Bedenken hast" angegeben wird Bitte kontaktieren Sie uns dazu unter <> "Es ist klug, Sie zu benachrichtigen, aber diese Reset-Aktion war nicht.
@TheCleaner Ja, die E-Mail kam tatsächlich vom Anbieter.
Wenn Sie Ihr Passwort jedes Mal ändern, wenn jemand versucht, Ihr Passwort zurückzusetzen, und dies fehlschlägt, können sie Sie im schlimmsten Fall unter DOS und im besten Fall unter Kontrolle halten. Das sollten sie nicht tun.
Das neue Passwort lautet außerdem 8-stelliges Alphanum. Wie dumm ist dieser Anbieter?
Vier antworten:
Nathan C
2013-07-31 23:05:43 UTC
view on stackexchange narkive permalink

Dies ist eine absolute Sicherheitsverletzung. Selbst wenn ihre Richtlinien irgendwie stichhaltig waren, bedeutet das Senden des Passworts in Klartext an Sie in einer E-Mail, dass das Zurücksetzen nutzlos ist. Wie Sie sagten, würden die Sicherheitsfragen nicht beantwortet, wenn der Angreifer Zugriff auf Ihre E-Mail hätte. t do squat.

Sie hätten nichts tun sollen, da die beantwortete Sicherheitsfrage ungültig war. Das Beste, IMHO, ist, einen Schritt weiter zu gehen und den Benutzer daran zu hindern, Fragen für einen definierten Zeitraum zu beantworten. Sie zu benachrichtigen ist ein richtiger Schritt, aber das Ändern des Passworts macht es einfach nutzlos.

Ich würde ihnen eine einfache Frage stellen: "Wenn Sie mich senden wollen (oder jemand, der vorgibt, ich mit Zugriff zu sein) an meine E-Mail) ein Passwort, wenn ich / jemand anderes die Sicherheitsfrage falsch errate, wozu dienen Sicherheitsfragen? "

Thomas Pornin
2013-08-01 00:35:01 UTC
view on stackexchange narkive permalink

Nein, es handelt sich nicht um eine angemessene Antwort des ISP. Der Angreifer hat versucht, das Kennwort zurückzusetzen. Dies zeigt, dass der Angreifer das aktuelle Kennwort nicht kennt und tatsächlich nicht einmal versucht, es zu erraten. Das Erzwingen eines Zurücksetzens dieses Kennworts kann nichts Gutes bringen: Es wird versucht, genau den Teil des Authentifizierungssystems zu reparieren, der nicht beschädigt wurde.

Wenn das Zurücksetzen des Kennworts nichts nützt, kann es viel bringen Schaden jedoch. Passwörter als Klartext in E-Mails sind selten eine gute Idee.

Diese Situation scheint ein gutes Beispiel für eine "Knie-Ruck-Sicherheitshaltung" zu sein: Im Zweifelsfall Panik.

(Ihr ISP hat wirklich ein Passwort gewählt, das mit "Rory" beginnt? Dies löst meinen Sinn für "Narrenspiel" aus.) Sup>

Alle meine Passwörter enthalten irgendwo "Rory".
@MichaelHampton, das sagt man den Leuten nicht.
@ekaj - siehe [this] (http://meta.security.stackexchange.com/a/881/13820) zu Roryfied-Passwörtern.
Briguy37
2013-08-01 03:12:59 UTC
view on stackexchange narkive permalink

Ich kann mir nur vorstellen, wo eine solche Änderung Ihres Passworts aus Sicherheitsgründen sinnvoll wäre, wenn der Benutzer bei dem Versuch, Ihr Passwort zu ändern, in Ihrem Konto angemeldet war.

In diesem Fall wurde Ihr vorheriges Passwort möglicherweise kompromittiert, da jeder, der angemeldet war, dieses Passwort kannte, aber nicht die Antwort auf Ihre Sicherheitsfrage.

Tim X
2013-08-03 04:58:09 UTC
view on stackexchange narkive permalink

Dies ist keine gute Praxis. Ich wäre ein bisschen misstrauisch, dass der SIP-Anbieter tatsächlich kompromittiert wurde, wollte aber das Gesicht retten oder das Potenzial für eine ordentliche Werbung reduzieren, indem ich möglicherweise weniger als klar / ehrlich oder ein wenig mehrdeutig war. Grundsätzlich macht das Ändern Ihres Passworts nach einem fehlgeschlagenen Versuch absolut keinen Sinn. Das Senden eines neuen Passworts per E-Mail macht noch weniger. All dies würde dazu führen, dass ich nach einem neuen SIP-RPVID suche, wenn ich es wäre.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...