Das Problem bei der Bestätigung der alten E-Mail-Adresse besteht darin, dass Benutzer manchmal die Adresse ändern, weil sie nicht mehr auf die alte zugreifen können. Zum Beispiel könnte die alte Adresse abgelaufen sein (und vielleicht sogar jemand anderem zugewiesen worden sein!). Oder sie haben einfach das Passwort für die alte Adresse vergessen und haben keine alternativen Möglichkeiten, ihre Identität zu beweisen. Oder die alte Adresse gehörte einer Firma, in der sie früher gearbeitet haben, und sie haben keinen Zugriff mehr darauf. Oder es wurde aus anderen Gründen blockiert oder beendet (Verletzung von ToS, DoSed, voller Spam und praktisch unbrauchbar usw.).

So wie ich es sehe, haben Sie zwei Möglichkeiten, sich anzumelden zu einem Konto: Verwenden Sie Ihr Passwort oder verwenden Sie Ihr E-Mail-Konto, um ein Zurücksetzen des Passworts anzufordern. Daher ist das E-Mail-Konto eine alternative Möglichkeit zur Authentifizierung. Wenn Sie jetzt Änderungen an den Authentifizierungsmethoden vornehmen, sollten Sie Ihre Identität überprüfen. Und wenn Sie sich nicht auf das alte E-Mail-Konto verlassen können (das Sie ändern möchten), scheint die offensichtliche Lösung nach Ihrem aktuellen Passwort zu fragen, bevor Sie die Adresse ändern können.

• Fragen Sie nach Ihrem aktuellen Passwort (dies ist eine gültige Überprüfung Ihrer Identität), um die E-Mail-Adresse ändern zu können.
• Überprüfen Sie, ob Sie Zugriff auf die neue E-Mail-Adresse haben Wenn dies überprüft wurde, machen Sie es zum neuen Standard.
• Möglicherweise tun Sie etwas mit der alten Adresse , die geändert wurde.

Was Sie tun mit dem alten Konto, hat meiner Meinung nach einige Vor- und Nachteile. Sie können sich entscheiden für:

• Senden Sie eine Benachrichtigung an die alte E-Mail , zum Beispiel: "Ihre E-Mail-Adresse für den Zugriff auf das Website-Beispiel wurde geändert. Wenn Sie nicht damit gerechnet haben, wurde Ihr Konto möglicherweise kompromittiert usw." Sie können auch einen Link zum Wiederherstellen des möglicherweise gefährdeten Kontos mit einem Token bereitstellen, das nach einiger Zeit abläuft. Das Problem bei dieser Option ist, dass Sie, wenn das alte Konto einer anderen Person zugewiesen wurde, diese nicht über zu viele Informationen informieren möchten (und ihnen definitiv keine direkte Wiederherstellungsoption geben möchten)
• Werfen Sie einfach die alte E-Mail weg, sobald sie erfolgreich aktualisiert wurde, ohne Benachrichtigungen zu senden. Das Problem dabei ist, dass ein Angreifer, der es schafft, das Passwort eines Benutzers zu stehlen, sein Konto vollständig übernehmen und sperren kann.
• Senden Sie nichts an die alte E-Mail, sondern behalten Sie es Es befindet sich einige Zeit in der Datenbank , um Unterstützung oder Wiederherstellung zu erhalten, falls der tatsächliche Eigentümer eines kompromittierten Kontos (mit der alten E-Mail) auftaucht und um Hilfe bittet. Das Problem bei dieser Option ist, dass der tatsächliche Eigentümer, falls das Konto kompromittiert wird, es möglicherweise erst erkennt, wenn ... wie lange?

2. Bestätigung einer neuen E-Mail
ol>

Wie ich die Methode der meisten Plattformen finde: Sie erhalten eine Bestätigungs-E-Mail an die neue Adresse, die Sie haben zur Verfügung stellen. Dies stellt sicher, dass Sie die E-Mail korrekt eingegeben haben, und hindert niemanden daran, die Hauptanmeldemethode zu ändern.

Dies sollte der "richtige" Weg sein. Begründung:

• Dies bestätigt, dass die von Ihnen eingegebene E-Mail-Adresse korrekt und frei von Tippfehlern war.
• dass Sie Zugriff darauf haben
• und dass der Mailserver, der sie hostet, erreichbar ist und die akzeptiert mail - Möglicherweise liegt eine DNS-Fehlkonfiguration oder ein Spamfilter vor, der die Zustellung von E-Mails verhindert.

Die Änderung der E-Mail-Adresse sollte daher erst durchgeführt werden, wenn sie bestätigt wurde.

Bei dieser Methode gibt es ein Problem: Wenn Sie auf einem Computer angemeldet waren, der unbeaufsichtigt bleibt, kann eine andere Person die E-Mail-Adresse ändern und Ihr Benutzerkonto übernehmen.

Die Lösung besteht darin, die Anforderung mit zu bestätigen das aktuelle Passwort . Das ist ein weiterer Schritt, aber ich bin der Meinung, dass die Unannehmlichkeiten tolerierbar sind: Benutzer sollten ihre registrierte E-Mail-Adresse nicht häufig ändern.

Variante: Sie können eine Antwort auf eine geheime Frage anfordern, wenn Ihre Site hat diese Option bei der Anmeldung. Am besten keine geheime Frage wie das Geburtsdatum, die wahrscheinlich öffentlich bekannt ist ...

Begründung: Es ist möglich, dass Ihr Passwort kompromittiert und in einer Pwnlist gefunden wurde, insbesondere wenn Sie dasselbe Passwort auf verschiedenen Websites wiederverwenden. Es besteht jedoch die Möglichkeit, dass die Antwort auf Ihre geheimen Fragen nicht leicht zu finden ist. Der Nachteil: Die zuvor aufgezeichneten Fragen und Antworten sollten dann nicht mehr sichtbar oder veränderbar sein. Das bedeutet, dass Sie Fragen verwenden sollten, die stabile / dauerhafte Antworten haben, und gleichzeitig die Falle häufiger, nicht so geheimer Fragen wie dem Geburtsdatum oder dem Mädchennamen der Mutter vermeiden sollten.

Vielleicht ist dies also eine Option Praktisch für einige Websites, aber nicht für alle.

3. Bestätigung durch alte Adresse
ol>

Nur sehr wenige Plattformen senden eine E-Mail an die alte Adresse, um zu überprüfen, ob ich der tatsächliche Eigentümer dieses Kontos bin. Wenn ich auf den Link in der E-Mail klicke oder eine Nummer eingebe, die sie mir senden, wird die Adresse geändert.

Wie bereits erwähnt, hat der Benutzer möglicherweise die Kontrolle über die alte Adresse verloren Berufsadresse eines Unternehmens, das Sie verlassen haben (oder von dem Sie entlassen wurden). Oder die Adresse ist verfallen oder wurde einer anderen Person zugewiesen. Hier besteht die Gefahr einer unerwünschten Offenlegung von Informationen. Sobald Sie die neue Adresse bestätigt haben, sollte die vorherige nicht mehr verwendet werden.

Last but not least: Alle am Benutzerprofil vorgenommenen Änderungen protokollieren. Wenn jemand nicht autorisierten Zugriff meldet, sollten Sie in der Lage sein zu erkennen, wann die Änderung vorgenommen wurde und welche IP-Adresse die Änderung ausgelöst hat. Tatsächlich enthält die Bestätigungsmail häufig die IP-Adresse. Klären Sie dies in Ihrer Datenschutzrichtlinie : Welche Art von Informationen zeichnen Sie wann und wie lange auf, während Sie gleichzeitig die Einhaltung der geltenden Vorschriften sicherstellen.

Wenn Ihre Website über 2FA verfügt stark> und der Benutzer hat es aktiviert, eine 2FA-Bestätigung wäre abhängig von der Art des Dienstes wünschenswert. Wenn Sie nur die E-Mail-Adresse für ein kostenloses Newsletter-Abonnement ändern möchten, ist 2FA nicht gerechtfertigt. Wenn Sie eine Bank sind, ist es anders. SMS / OTP wird wahrscheinlich ins Spiel kommen.

Wenn Sie E-Mail als eine Form der Überprüfung der Kontoidentifikation betrachten, sollten Sie im Idealfall versuchen, Änderungen über ein alternatives Formular zu bestätigen, z. B. SMS, anderes E-Mail-Konto, Soft Token, physischer Brief usw.

In vielen Fällen ist E-Mail die primäre ID für Ihr Konto. Je nachdem, wie sicher das Konto ist, benötigen Sie zunehmend alternative Überprüfungsformen.

• Beispiel 1 in Ihrer Frage ist völlig unsicher und fehlerhaft auf vielen Ebenen
• Beispiel 2 ist immer noch unsicher, da der böswillige Akteur nur die Änderung des von ihm kontrollierten E-Mail-Dienstes bestätigen muss (keine ursprüngliche Validierung des E-Mail-Faktors).
• Beispiel 3 sollte das sein Es sollten jedoch mindestens zusätzliche Validierungs- / Verifizierungsfaktoren verwendet werden, wenn das Konto sicher sein soll.
• Beispiel 4 ist nicht wirklich sicherer als 3 und hilft nur wirklich dabei, sicherzustellen, dass die neue E-Mail gültig ist.

Best Practice sollte darin bestehen, alternative Kommunikationsfaktoren zu validieren. Wie viele und welche Art hängen vom Service und der Risikobereitschaft des Anbieters ab.

Die Bestätigung der neuen E-Mail lohnt sich auf jeden Fall in die Best Practices aufzunehmen. Die Alternativen (wie das zweimalige Eingeben der neuen E-Mail) sind genauso zeitaufwändig und nicht so sicher.

Die Bestätigung der alten E-Mail ist selbstzerstörerisch (viele Benutzer denken nur daran, die Adresse zu ändern, wenn es funktioniert schon nicht mehr). Das Senden eines Wiederherstellungslinks an die alte E-Mail bei einer E-Mail-Änderung kann jedoch dazu beitragen, zu verhindern, dass Konten mit schwachen Kennwörtern leicht gestohlen werden.

Es besteht nur eine geringe Wahrscheinlichkeit, dass die alte Adresse nicht einfach war deaktiviert, aber einem neuen Benutzer zugewiesen. Wenn das alte Konto jedoch einer anderen Person zugewiesen wurde und diese Person böswillige Absichten hat, wird der ursprüngliche Benutzer unabhängig von der Wiederherstellungsoption bei E-Mail-Änderungen geschraubt. Sie könnten genauso gut das Passwort des Kontos zurücksetzen lassen, um zu verhindern, dass der legitime Benutzer die E-Mail überhaupt aktualisiert.

Es hängt wie immer vom Bedrohungsmodell ab. Was kann ein Angreifer erreichen, wenn er die E-Mail-Adresse des Dienstes ändert?

Zum Beispiel ein Dienst, der Benachrichtigungen über Ereignisse sendet, auf die ich reagieren muss, um ein negatives Ergebnis zu vermeiden (z. B. eine Benachrichtigung, die jemand sendet Geld von meinem Konto, und wenn ich die Aktion nicht eingeleitet habe, sollte ich mich an den Sicherheitskontakt wenden. Es besteht ein ziemlich hohes Risiko, über diese Straße angegriffen zu werden. Wenn Sie ein Kennwort erhalten und anschließend die Benachrichtigungsadresse ändern können, ohne dass eine Benachrichtigung an die alte Adresse gesendet wird, ist der Benachrichtigungsdienst möglicherweise nicht vorhanden, da er in genau dem Szenario, für das er entwickelt wurde, problemlos deaktiviert werden kann.

Andererseits ist die Offenlegung von Informationen wie "Dieser Benutzer wechselt sein LinkedIn-Konto von seiner Unternehmens-E-Mail-Adresse weg" ein weiteres realistisches Bedrohungsszenario, in dem genau das Gegenteil wünschenswert ist: Es sollte einen Weg geben um die E-Mail-Adresse zu ändern, ohne dass eine Benachrichtigung an die alte Adresse gesendet wird (insbesondere wenn die Benachrichtigung einem Standardformat folgt, nach dem leicht gesucht werden kann). In diesem Fall ist es möglicherweise besser, eine Benachrichtigung anzuzeigen, dass die E-Mail-Adresse während der Anmeldung geändert wurde, und diese Benachrichtigung für eine festgelegte Zeit zu wiederholen (sodass ein Angreifer sie nicht bestätigen kann, um sie vor dem tatsächlichen Benutzer zu verbergen).

Außerdem werden häufig viele Details zu einem Benutzer gleichzeitig geändert, z. B. eine Unternehmens-E-Mail-Adresse und ein Unternehmenstelefon, und die Person wechselt anschließend für einen anderen Job, sodass sich auch die Adresse ändert. Bei Verbraucherdiensten sind Scheidungen so ziemlich der schlimmste Fall - häufig steht eine Person im Telefonplan der anderen Person, sodass die mit einem Konto verknüpfte Telefonnummer einer anderen Person gehört als die Rechnungsinformationen, oder eine Person kann die eines Kontos ändern eigene Rechnungsinformationen, um das Eigentum an einem Konto zu übernehmen, an das bezahlte Artikel angehängt sind, sodass es schwierig ist, den tatsächlichen Kontoeigentum an einen bestimmten Artikel zu binden.

Es gibt keinen einzigen "besten" Weg um damit umzugehen. Schauen Sie sich die spezifische Anwendung an und spielen Sie eine Reihe möglicher Szenarien aus, in denen ein Angreifer ein Motiv hätte, Informationen über ein Konto zu ändern, und was der Kontoinhaber in diesem Fall tun möchte.

Sie möchten wahrscheinlich nicht mit der alten E-Mail-Adresse bestätigen , da ein Grund für die Migration darin besteht, dass ein altes E-Mail-Konto kompromittiert wurde und nicht mehr unter der Kontrolle des legitimen Kontoinhabers steht . Möglicherweise möchten Sie die alte E-Mail-Adresse darüber informieren, dass das Konto geändert wurde, und ihnen einen Ansprechpartner zur Verfügung stellen, an dem sie diese Änderung bei Bedarf anfechten können. Dieser Kontaktpunkt müsste die neue und die alte E-Mail-Adresse zusätzlich überprüfen, damit sie nicht zur Schwachstelle im Sicherheitsmodell wird, an der Social-Engineering-Angriffe auftreten können.

Sie könnten nachsehen Bei anderen Vektoren zur Überprüfung oder Information der Benutzer, 2FA, SMS usw. Wenn Sie die Ursache des Problems identifiziert haben, besteht ein Kompromiss zwischen Sicherheitsreibung und Benutzerfreundlichkeit. Es gibt kein Wundermittel, da mit jedem Anwendungsfall unterschiedliche Kosten verbunden sind. IT ist wahrscheinlich keine große Sache, wenn Sie die Kontrolle über ein gelegentliches Message Board-Konto verlieren. Dies ist jedoch nicht der Fall, wenn Sie Kontoverwaltungskontrollen für internationale Bankensoftware erstellen.

Wählen Sie Ihre Gifte entsprechend aus .

Ich musste kürzlich die E-Mail-Adresse auf einer Reihe von Websites ändern, weil mein ISP keine E-Mails mehr gesendet hat (der Grund dafür war "es ist zuooooo schwer, Mama"). Eine E-Mail-Adresse, die ich seit 1993 habe, funktioniert im August letzten Jahres nicht mehr.

Ich bin auf einige Websites gestoßen, deren Richtlinie einfach lautete: "Sie können Ihre E-Mail-Adresse nicht ändern." Ich musste auf diesen Websites brandneue Konten mit einer neuen E-Mail-Adresse erstellen. Einer von ihnen hatte einen Prozess zum Migrieren gekaufter Inhalte, der andere nicht.

Dies hat den Vorteil, dass er für alle Beteiligten einfach ist. Erstellen Sie ein neues Konto, genau so, als wären Sie ein neues Mitglied der Site.

Lösung 1 wird durch einen alltäglichen Benutzerfehler trivial beschädigt. Lösung 2 ist meiner Meinung nach die optimale Lösung. Lösung 3 und 4 bieten eine bessere Sicherheit, lassen Ihren Dienst jedoch für ein ernstes Verfügbarkeitsproblem offen.

Ich habe eine verwendet akademische E-Mail-Adresse, um sich bei einigen Diensten zu registrieren (ich weiß, meine schlechte). Als die Adresse abgelaufen war, konnte ich die Adresse einer von ihnen nicht mehr ändern, obwohl ich mich anmelden konnte, weil ich das Passwort kannte. Die Funktion zum Ändern der Adresse erforderte eine Bestätigung der alten Adresse. So wurde es eine tickende Bombe.

Ein anderer Dienst war noch schlimmer. Ich habe das Passwort vergessen und war komplett gesperrt. Um fair zu sein, bin ich mir nicht sicher, wie Sie ein System entwerfen können, das automatisch damit umgeht, dass der Benutzer alle Anmeldeinformationen verliert.