Frage:
Die IT gibt das Passwort nur per Telefon weiter - aber ist das wirklich sicherer als E-Mail?
Chris Cirefice
2018-08-16 22:39:21 UTC
view on stackexchange narkive permalink

Jedes Jahr wird ein automatisches Zurücksetzen des Kennworts für ein VPN-Konto durchgeführt, mit dem ich eine Verbindung zu den Servern der Institution herstelle. Die VPN-Konten / -Kennwörter werden von der IT-Abteilung des Instituts verwaltet. Daher muss ich jedes Jahr eine E-Mail senden, um mit dem Kontoverwalter Kontakt aufzunehmen und das neue Kennwort zu erhalten. Dies endet immer mit einem Telefonanruf , da die Richtlinie lautet, keine Passwörter per E-Mail zu senden.

Ich habe ein vages Verständnis dafür, warum das Senden von Passwörtern per E-Mail schlecht ist, aber ehrlich gesagt Ich verstehe nicht, warum es besser wäre, jemandem über ein Telefon ein Passwort zu geben. Angenommen, ich habe eine Chance von 0%, ihre Richtlinie zu ändern (ich habe wirklich keine Chance), warum sollte es sicherer sein, jemandem über einen Telefonanruf ein Passwort zu sagen als E-Mail?

I. Ich konzentriere mich hauptsächlich auf die Möglichkeit, dass Telefon / E-Mail von Dritten abgefangen werden kann , aber @Andrew hat einen guten Punkt zur Dauerhaftigkeit von E-Mails angesprochen.

Es gibt einige großartige Informationen in dieser Frage / Antwort, aber diese Frage betrifft die sicherste Methode zum Senden von Anmeldeinformationen, während ich speziell nach Telefonanrufen und E-Mail-Sicherheit frage.

Ein Anruf wird normalerweise nicht auf unbestimmte Zeit aufgezeichnet, während eine E-Mail normalerweise nicht gelöscht wird.Die Transportsicherheit von beiden hängt von vielen Faktoren ab (Telefon: War es ein Festnetzanschluss, 2G / 3G / 4G, VoIP? E-Mail: Verwendet SMTP TLS, verwendet der Client TLS usw.)
@dandavis Nur weil Ihre Verbindung zu Google Mail oder was auch immer sicher ist, bedeutet dies nicht, dass die Nachricht bis zum Ziel verschlüsselt wird.https://superuser.com/questions/260002/why-are-email-transfers-between-mail-servers-often-not-encrypted
Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (https://chat.stackexchange.com/rooms/81926/discussion-on-question-by-chris-cirefice-it-will-only-give-password-over-phone).
Wenn es nur einen sicheren Kanal gäbe ... wie das bereits vorhandene VPN
Ein paar wichtige Punkte, die Sie beachten sollten, wenn Sie davon sprechen, dass Passwörter sicherer sind, sind, dass, wenn der Endbenutzer das Telefon über Lautsprecher hat, das Passwort wiederholt oder notiert wird, damit er sich daran erinnert, dass die zusätzliche Sicherheit, dass E-Mails nicht über E-Mails gesendet werden, besonders verloren gehen kannWenn es sich um ein Passwort handelt, müssen sie sich nicht ändern oder können sich nicht ändern.Ein weiterer wichtiger Punkt ist, dass nicht jeder das Telefon benutzen kann, z. B. Gehörlose, Hörgeschädigte und Personen, die aus irgendeinem Grund ihre Stimme verloren haben. Dies bedeutet, dass andere Mittel erforderlich sind, um dem Benutzer ein Passwort zu geben.
Wenn jemand am Telefon ist, der Ihnen das Passwort gibt, kennt bereits 1 Person dieses Passwort ... Und dies ist ein Hinweis darauf, dass das Zurücksetzen des Passworts so verwaltet wird, dass irgendwo eine Liste all dieser Passwörter im Klartext angezeigt wird (oder was auch immer 2-Wege-Verschlüsselung).Ich bin überrascht, dass sie einen solchen Ärger haben, wenn der gesamte Prozess bereits von Anfang an einige Sicherheitslücken aufweist, die mich mehr betreffen.Und ich bin kein Sicherheitsexperte ...
Ein weiterer Grund könnte die Überprüfung sein, ob noch eine Person das Konto verwendet.Ein Bedrohungsmodell kann eine Kontoentführung sein, bei der der ursprüngliche Benutzer das Konto nicht einmal mehr verwendet.- In diesem Fall müsste der Angreifer eine vollständige persönliche Konversation simulieren, was für ein Botnetz oder einen Nicht-Muttersprachler, der das Konto möglicherweise kompromittiert hat, viel schwieriger ist.
Ein entscheidender Aspekt von 2FA ist, dass die Faktoren völlig unabhängige Lieferströme sein müssen.Daher ist eine 2FA-Authentifizierung, bei der es sich um ein Kennwort plus eine Smartcard oder ein Kennwort plus einen Schlüsselaustausch handelt, nicht wirklich effektiv.Alle drei sind gute Authentifizierungsmethoden, aber die Kombination dieser Methoden erzwingt nicht zwei Faktoren.Ein Telefonanruf würde dies tun (vorausgesetzt, Sie beantworten Ihr Telefon nicht über eine Desktop-App) sowie den zusätzlichen Vorteil, den Andrew Greer erwähnt, dass er keine Aufzeichnung des Audioanrufs hinterlässt.
Zwölf antworten:
Andrew Greer
2018-08-16 22:42:32 UTC
view on stackexchange narkive permalink

E-Mails werden irgendwo gespeichert, egal ob auf einem Mailserver oder auf einem PC. Telefonanrufe sind normalerweise nicht möglich, es sei denn, es handelt sich um eine kundenorientierte Umgebung.

Das war auch mein erster Gedanke.Eine andere Sache, auf die Sie näher eingehen könnten, ist die Transportsicherheit beider Methoden.(Siehe auch meinen Kommentar zur Frage.)
@Luc Darauf habe ich mich anfangs eigentlich konzentriert, aber Andrew macht einen guten Punkt über die Beständigkeit von allem.Ich habe ursprünglich darüber nachgedacht, wie eine E-Mail oder ein Telefonanruf von einem Dritten abgefangen werden könnte.
@ChrisCirefice - Zwar könnten die Telefone abgehört werden, aber es ist weitaus weniger wahrscheinlich, dass die Computersysteme kompromittiert werden.Vor allem, wenn es sich um einen Festnetzanschluss handelt (... obwohl heutzutage wahrscheinlich kein Festnetzanschluss vorhanden ist, aber viele Unternehmen diesen möglicherweise tatsächlich noch nutzen).
Einfach, eine E-Mail über die Schulter zu lesen, nicht so einfach für einen Anruf.
Aus politischen Gründen zeichnet mein Unternehmen * alle * eingehenden und ausgehenden Anrufe auf.Die Datensätze werden in der Cloud hinter den Anmeldeinformationen gespeichert. Wenn ein Administrator oder der Benutzer, der den Anruf getätigt hat, dies wünscht, kann er die Aufzeichnung herunterladen und per E-Mail senden.Es ist zwar kein alltägliches Ereignis, aber es passiert.
Firmeninterne Telefonanrufe werden möglicherweise nicht aufgezeichnet.Einige Länder bestellen jedoch Telefonanlagen mit enormer Speicherkapazität.
@JM-AGMS Selbst in diesem Fall ist es schwieriger, ein gesamtes Audio-Repository nach einem Kennwort zu durchsuchen als ein Text-Repository.Obwohl ... Ich denke, Sie könnten einen Audio-zu-Text-Prozess an das Ganze übergeben und dann nach Wörtern suchen, die "Passwort" ähneln.
Wenn Sie nicht unachtsam mit Ihrem PGP-Passwort umgehen, sollte in absehbarer Zeit niemand in der Lage sein, die E-Mail zu entschlüsseln. Warum ist der Speicher also ein Problem?
Oder ein Abhören
Es ist illegal, Anrufe aufzuzeichnen.Dies steht seit kurz nach dem Telefonieren in den Gesetzbüchern.In einigen Staaten ist die Zustimmung aller Parteien erforderlich.In anderen Staaten 1-Teilnehmer, aber das bedeutet immer noch, dass das System nicht alle Anrufe mit Zustimmung von 0-Parteien aufzeichnen kann.Wenn es sich um einen zwischenstaatlichen Anruf handelt, * gilt das restriktivste Gesetz *.
@Harper Das sind nur die USA.In Großbritannien ist es üblich, dass Telefonanrufe nur mit Vorankündigung und nicht mit Zustimmung aufgezeichnet werden.
@Harper: Wenn Sie ein Firmentelefon verwenden, wird dies häufig als Firmengeschäft angesehen, und das Unternehmen wird informiert.
@Harper Sicherlich haben Sie ein Unternehmen angerufen und sich benachrichtigen lassen, dass "dieser Anruf zu Zwecken der Qualitätssicherung überwacht / aufgezeichnet werden kann"?Es ist sicherlich nicht illegal für sie, diese Anrufe aufzuzeichnen.
*Genau*.Sie müssen Sie darauf aufmerksam machen, und wenn Sie sich trotzdem dafür entscheiden, in der Leitung zu bleiben, ist dies die Zustimmung.Sie können nicht einfach sagen "la la la, wir sind die Firma und besitzen die Telefonzentrale und wir geben ihre Zustimmung".E-Mails mögen so funktionieren, aber die Abhörgesetze sind etwas älter und wurden geschrieben, als Unternehmen keine Menschen waren.
Ein weiterer wichtiger Aspekt ist, dass der Benutzername und das Passwort verschiedene Kanäle durchlaufen: Die IT-Abteilung ** wird ** von Zeit zu Zeit Tippfehler machen, aber solange beide Tippfehler-E-Mail-Adressen nicht derselben Person gehören wie dieTippfehler-Telefonnummer (es muss die IT sein, die den Anruf an die im offiziellen Verzeichnis angegebene Nummer initiiert), die vollständigen Anmeldeinformationen werden niemals verloren gehen.
@TobySpeight-Sicherheitsrichtlinien sind nicht und sollten nicht unter der Annahme entworfen werden, dass Ihre Bevölkerung sicherheitsbewusst ist (d. H. PGP-Schlüssel verwendet).
Für jedes Unternehmen, das sich mit Europa befasst, ist die DSGVO ein viel besserer Grund (und ich würde dies gerne als Antwort veröffentlichen).Durch das Versenden einer E-Mail muss das Unternehmen die Gesetze zur Speicherung dieser Daten einhalten.Damit ist eine erhebliche Anzahl von Kopfschmerzen verbunden.Das Verfolgen von E-Mails ist an der Tagesordnung. Wenn das Unternehmen den Anruf NICHT aufzeichnet, fällt er nicht unter die DSGVO.und als solches ist viel weniger Sorgfalt erforderlich.
Ben
2018-08-17 13:11:30 UTC
view on stackexchange narkive permalink

Diese Richtlinie ist üblich, wenn Benutzernamen und Kennwörter über separate Kanäle gesendet werden.

Es spielt keine Rolle, welche Kanäle verwendet werden, solange die Authentifizierungspaare aufgeteilt und über verschiedene Methoden gesendet werden.

Dies ist die akzeptierte bewährte Methode, da es viel schwieriger ist, die richtigen zwei Kanäle abzufangen, als einen Kanal zu beobachten, damit das Authentifizierungspaar einfach vorbeikommt.

Die Gründe dafür sind nicht nur Kennwortänderungen Wenn Sie ein Passwort vergessen haben, aber der Verdacht besteht, dass ein Konto kompromittiert wurde. Aus diesem Grund werden Kennwortänderungen "außerhalb des Bandes" vorgenommen, um sicherzustellen, dass Kennwortaktualisierungen nicht einfach erfasst werden können.

In der Welt der IT-Sicherheit geht es manchmal nicht darum, vollkommen sicher zu sein. Es ist akzeptabel, nur so hart zu sein, dass Angreifer es woanders versuchen.

+1 Hinzu kommt: Wenn es für einen Angreifer einfacher ist, den Mechanismus zum Zurücksetzen von Passwörtern zu umgehen, als Ihr Passwort zu erraten / zu fälschen, ist Ihre Site nicht wirklich passwortgeschützt, oder?
Einverstanden (und positiv bewertet!): Die Antwort lautet "getrennte Kanäle" :) Ich würde den letzten Absatz jedoch leicht ausnutzen, da es nicht so sehr darum geht, dass die Leute "woanders versuchen", sondern um diese "Tiefenverteidigung"Alles über mehrschichtige Sicherheit, von der keine Schicht eine vollständige Verteidigung gegen alle möglichen Angriffe darstellen kann.
Mike Ounsworth
2018-08-16 22:49:52 UTC
view on stackexchange narkive permalink

E-Mails werden möglicherweise (wie @Luc hervorhebt, nicht immer) im Klartext über das Internet gesendet. Dies bedeutet, dass sie möglicherweise von Ihrem E-Mail-Anbieter, Ihrem ISP, dem ISP Ihres Empfängers, dem E-Mail-Anbieter Ihres Empfängers oder einem der dazwischen liegenden Netzwerkgeräte protokolliert werden. Als Absender haben Sie auch keine Kontrolle darüber, wer der Person beim Öffnen der E-Mail über die Schulter schaut.

Mit einem Telefonanruf haben Sie mehr Kontrolle darüber, ob Sie mit der richtigen Person sprechen Person, sie können sich weigern zu antworten, wenn sie sich an einem öffentlichen Ort befinden usw. Außerdem gibt es zwar keine Garantie dafür, dass es nicht aufgezeichnet wird, aber zumindest gibt es eine gute Chance - im Gegensatz zu E-Mails, bei denen die Wahrscheinlichkeit, dass sie sich in einigen befinden, zu 100% besteht Datenbank irgendwo.

Ein Großteil des VoIP wird jedoch unverschlüsselt über LANs und das Internet transportiert.Auf der TDM-Seite des Telefonnetzes gibt es keinerlei Verschlüsselung oder Authentifizierung.
@user71659 Fair genug.Ich habe keine Erfahrung in der Telefonie.Mit Textprotokollen von E-Mail-Servern usw. ist es sehr einfach, Strg + F für Passwörter einzugeben.Ist es unter der Annahme eines unverschlüsselten Telefonnetzes und / oder von VoiP-Paketen ähnlich einfach, das Passwort zu extrahieren?
Beachten Sie, dass es sich hier um ein Unternehmen handelt.Vermutlich verlassen interne E-Mails niemals ihre Räumlichkeiten.Also ja, ich weise darauf hin, dass es nicht immer im Klartext gesendet wird, aber der Vollständigkeit halber ist es in diesem speziellen Szenario tatsächlich * wahrscheinlich *, dass es sicher gesendet wird.Telefonanrufe hingegen verlassen fast immer die Räumlichkeiten, da die Leute heutzutage normalerweise nur über Mobiltelefone telefonieren (auch dies ist bei internem VoIP oder DECT oder bei CCC: GSM anders).
@MikeOunsworth Es ist sicherlich schwieriger, mit Sprachaufzeichnungen umzugehen (es ist eine Idee, jemanden für die Transkription auf Mechanical Turk zu bezahlen).Wenn jedoch alle zur gleichen Jahreszeit zurückgesetzt werden, können Sie beispielsweise die SIP- und Aufzeichnungsströme nach kurzen Anrufen beim IT-Helpdesk filtern.
@Luc Wenn Sie davon ausgehen, dass interne E-Mails die Räumlichkeiten nicht verlassen, würde ein interner PBX-Anruf dies auch nicht tun.Der IT-Desk kann Sie beispielsweise nur an Ihrem Desk anrufen, wie im Unternehmensverzeichnis aufgeführt.
@user71659 Verwenden Menschen heutzutage normalerweise keine Mobiltelefone anstelle von Tischtelefonen?Ich könnte mich irren, ich habe noch keine Umfrage bei Tausenden von Unternehmen auf der ganzen Welt durchgeführt, aber meiner Erfahrung nach erhalten Sie normalerweise ein Smartphone mit einer regulären Nummer in einem nationalen Netzwerk, und das ist Ihre primäre Telefonnummer, die das Unternehmen erreichen kannSie.
@Luc Nicht in den USA.Meiner Meinung nach ist ein Tischtelefon komfortabler zu bedienen, hat eine bessere Akustik, verwendet keine starke Sprachkomprimierung und hat keine Aussetzer.Es ist eine weitaus professionellere Erfahrung.Sie haben auch Probleme, wenn jemand 911 anrufen muss und mit Deckung, wie ein Büro in einem Keller.Die USA hatten bis vor einigen Jahren auch Steuerprobleme beim Abschreiben von Mobiltelefonen.
@Luc Ein kleiner Haken: Wenn Sie Ihr VPN-Passwort zurücksetzen, erhalten Sie das neue per E-Mail, wodurch das Unternehmensnetzwerk, auf das Sie für den VPN-Zugriff zugreifen müssen, nie verlassen wird.Es hört sich so an, als würde das OP E-Mails von außerhalb des VPN an die IT senden und möchte, dass das Kennwort auf diese Weise zurückgegeben wird.
@Luc Bei Mobiltelefonen verwendet mein Unternehmen auch VoiP-Tischtelefone / -Software, bei denen ich davon ausgehe, dass der Datenverkehr für interne Anrufe im Unternehmensnetzwerk oder zumindest im Netzwerk des VoiP-Anbieters verbleibt.
@user71659 Ein VoIP-Angreifer muss über eine zuvor festgelegte Präsenz verfügen, um die Sitzung zu vertreten, Zugriff auf eine zwischengeschaltete Netzwerkschnittstelle zu haben, oder er muss nicht versuchen, eine Partei zu fälschen und eine Neuverhandlung der Sitzung live zu erzwingen.Dazu benötigen Sie eine ziemlich große Präsenz oder viel Einrichtungszeit.Es ist sicherlich nicht unmöglich, aber ich würde das einen viel raffinierteren Angriff nennen, und mit Sicherheit einen, der viel schwieriger zu machen ist, ohne Beweise zu hinterlassen.
@IronGremlin Und wie unterscheiden sich diese vom Abfangen von E-Mails während des Transports?Es ist alles IP-Verkehr.
@user71659 Weil es nervig ist, einen VoIP-Anruf über einen Proxy weiterzuleiten, selbst wenn Sie dies als legitimer und autorisierter Proxy tun, den beide Endpunkte kennen.
@IronGremlin Ich verstehe es nicht.SBCs sind Standard in jeder Architektur, wenn Sie das Unternehmen verlassen.Wenn Sie TDM haben, haben Sie ein Media Gateway.Asterisk ist eine B2BUA.Wenn ich mit Cisco CallManager eine Konferenzschaltung durchführe, wird automatisch eine Konferenzbrücke transparent eingefügt.Wenn mein Softphone nicht in unserem LAN ist, wird es automatisch über Cisco Expressway getunnelt.Wenn ich von meinem VoLTE-Telefon aus anrufe, wird ein IPSEC-Tunnel zur P-CSCF eingerichtet.Wenn ich auf meinem Telefon auf "Halten" drücke, wird durch eine erneute SIP-Einladung im Grunde genommen ein neuer Anruf mit dem Hold-Musik-Stream erstellt ...
@Luc Ihre Annahme, dass E-Mails die Räumlichkeiten nicht verlassen, ist leider nicht mehr wahr (selbst wenn der Benutzer sie nicht von außerhalb herunterlädt).Hier wird unser E-Mail-System von den Servern von Microsoft verwaltet.am letzten Ort war es Google.
@ChrisH Dies ist in "Nicht verlassen der Räumlichkeiten" enthalten: Wenn Sie ihnen zunächst alle Ihre E-Mails anvertrauen, macht es keinen Unterschied, dass sie auch den internen Transit von E-Mails durchführen.
In Fällen ohne VoIP wird das Audio fast immer unverschlüsselt gesendet, es sei denn, Sie verwenden spezielle Hardware.Sie könnten z.Handys und sagen, dass es Verschlüsselung gibt, was wahr ist, aber es deckt nur den Funk-Teil des Anrufs ab.Im Telefonnetz selbst ist es unverschlüsselt und kann von jedem mit Netzwerkzugriff leicht abgefangen werden.Auch im Fall der "Unverschlüsselten E-Mail im Internet könnte protokolliert werden" bedeutet die Tatsache, dass das Netzwerk paketvermittelt ist, dass dies häufig nur für diejenigen Parteien praktikabel ist, deren Geräte sich * notwendigerweise * im Datenpfad befinden.
@alastair vereinbart.Ich glaube nicht, dass hier jemand argumentiert, dass es unmöglich ist, Telefonie zu belauschen, oder dass es immer möglich ist, E-Mails abzufangen.Nur, dass es im Allgemeinen einfacher ist, Passwörter aus E-Mail-Textdaten herauszuholen und abzubauen, als aus Sprachdaten.
Es ist definitiv einfacher, Textdaten als Sprachdaten abzubauen (obwohl die Umwandlung von Sprache in Text nicht über den Verstand des Menschen hinausgeht).Es ist sehr situationsabhängig, es in die Hände zu bekommen.Insbesondere wenn einer der traditionellen Low-Tech-Ansätze eine Option ist, ist dies im Vergleich zu jeder Art von Hacking / Netzwerkzugriffssituation wirklich sehr einfach.Ich neige dazu zu denken, dass die Sicherheit der Telefonie überbewertet und die der E-Mail unterbewertet ist, weil sich viele von uns zu sehr auf die digitale Seite der Dinge konzentrieren und das altmodische Zeug vergessen.
AMADANON Inc.
2018-08-17 12:24:19 UTC
view on stackexchange narkive permalink

Selbst wenn sowohl die E-Mail- als auch die Telefongespräche aufgezeichnet werden, ist es um Größenordnungen einfacher, eine E-Mail-Datenbank nach "Passwort" zu durchsuchen als nach Sprachaufzeichnungen.

Best Practices sagen dies jedoch Eine und nur eine Person sollte das Passwort für ein Konto kennen, und das ist die Person, die das Konto besitzt. Der Administrator sollte es nicht wissen, noch sollte der Server (dh das gehashte Passwort).

Der übliche Weg, dies zu tun, wäre: Wenn das Passwort kürzlich (für einen bestimmten Wert von kürzlich) abgelaufen ist, hat der Benutzer Sie können ihr altes Kennwort verwenden, müssen jedoch sofort nach der Authentifizierung (vor dem Anmelden) ihr Kennwort ändern und die Verbindung sofort trennen. Wenn das Kennwort vor einiger Zeit abgelaufen ist, kann der Administrator das abgelaufene Kennwort für einen kurzen Zeitraum (z. B. 10 Minuten) als "kürzlich abgelaufen" markieren. Der Administrator muss nicht wissen, wie dieses Kennwort lautet. Wenn der Benutzer sein Kennwort vergessen hat, kann der Administrator ein Kurzzeitkennwort (z. B. 10 Minuten) eingeben, das auch eine sofortige Änderung des Kennworts erzwingt.

Auch wenn ein Benutzer im letzten Jahr sein eigenes Kennwort geändert hat Sie sollten von der Änderung ausgenommen sein (bis genau 1 Jahr nach ihrer letzten Änderung).

Die Theorie, dass ein Passwort einmal pro Jahr geändert werden sollte, ist in den meisten Fällen ebenfalls äußerst zweifelhaft - wenn es sich um ein Passwort handelt kompromittiert, wird es in der Regel sofort maximal ausgenutzt. Nur einem Angreifer "nur" 6 Monate Zugriff (im Durchschnitt) zu gewähren, erscheint ziemlich sinnlos (oder "nur" 6 Tage). Dies deutet auf eine 2-Faktor-Authentifizierung hin, wobei der zweite Faktor jedes Mal eindeutig ist (Google Authenticator, OTP, OPIE, Challenge-Response usw.), wenn die Ressource geschützt werden sollte.

Ein Administrator sollte das Kennwort eines Benutzers nicht kennen, wenn dies vermieden werden kann. Bei Bedarf sollten sie die Möglichkeit haben, mit ihrem EIGENEN Kennwort ein anderer Benutzer zu werden, das dann in ein Überwachungsprotokoll geschrieben wird. Dies ist besonders wichtig, wenn es mehrere Ebenen von "Administratoren" gibt (dh wenn es Personen gibt, die Kennwörter ändern können, aber das Überwachungsprotokoll nicht beeinflussen).

Kleinere Verschleierungen (wie Sicherheit durch Audio, Bild usw. ) sind gefährlich, weil sie Selbstzufriedenheit ohne Sicherheit fördern.

Ja, obwohl es einfach genug wäre, hier eine Hürde hinzuzufügen, indem nur eine Bilddatei mit dem Namen "kitten.gif" gesendet wird, die tatsächlich einen "Screenshot" des Textes "neues Passwort: pwd1234" enthält.Ein entschlossener Angreifer kann dies genauso gut knacken wie eine Telefonaufzeichnung, aber nicht einfach mit "grep".Jede Methode ist nur Sicherheit durch Dunkelheit.
Scott McMahan
2018-08-18 12:44:58 UTC
view on stackexchange narkive permalink

In einem sicheren System sollten von der IT bereitgestellte Kennwörter nur temporäre, nur einmal verwendete, zufällige Zeichenfolgen sein, sodass der Benutzer sie sofort eingeben und in sein eigenes neues geheimes Kennwort ändern muss. Die IT sollte niemals das "echte" Passwort eines Benutzers kennen oder übertragen.

Benutzer müssen vor dem Zurücksetzen überprüft werden. Dies ist viel einfacher per Sprachanruf, Stellen einer Frage, Erhalten einer Antwort, Fertigstellen.

Auch wenn die Temperatur. Das Passwort wird bei einem Anruf mitgehört, es würde keine Zeit für die Verwendung geben. E-Mails werden jedoch manchmal für einige Zeit vernachlässigt, bevor sie gelesen werden, sodass ein Angreifer die Chance hat, das Schlimmste zu tun.

Zusätzlich kann ein aufgezeichneter Sprachanruf verwendet werden, um festzustellen, ob sich ein Benutzer später imitiert hat. Sie können jedoch nicht feststellen, wer auf einen geöffneten E-Mail-Bildschirm oder einen Remote-E-Mail-Server geschaut hat.

Meine 10-jährige Erfahrung liegt in einem Umfeld von Finanzinstituten, sodass dieses Sicherheitsniveau möglicherweise nicht wirtschaftlich gerechtfertigt ist, wenn die Sicherheitsanforderungen weniger streng sind. Das Bezahlen von IT-Stellen ist teuer und die meisten Systeme / Apps werden ohnehin webbasiert geschützt, sodass die Tage des Zurücksetzens von IT-Passwörtern per Sprache in jedem Fall gezählt werden.

Ich stimme Ihrer Antwort zu, aber leider gibt es in diesem VPN-System keine Passwortverwaltung seitens des Benutzers.Die IT legt das Passwort fest und ändert es jedes Jahr.Es ist nicht im geringsten ein sicheres System, da die IT alle Benutzerkennwörter kennt.Schlimmer noch, das Passwort war nicht hochentropisch (8 Zeichen und 2 Zahlen, keine Symbole).
ETL
2018-08-17 02:27:06 UTC
view on stackexchange narkive permalink

Die Sicherheit einer E-Mail ist schwer festzustellen. Die E-Mail wird höchstwahrscheinlich in Archiven aufbewahrt (für bestimmte Unternehmen gibt es sogar einige Vorschriften). Unter diesem Gesichtspunkt ist es daher eine schlechte Idee, ein Passwort in einer E-Mail zu senden. Es kann auch zu einem Abfangen von E-Mails kommen.

Telefon hingegen wird mit geringerer Wahrscheinlichkeit aufgezeichnet, es kann jedoch zu einem Abfangen oder Aufzeichnen von Telefonen kommen. Es ist also keine so gute Idee. Ich habe einen Kommentar gelesen, dass Festnetzanschlüsse schwerer zu erreichen sind als Computersysteme - ich würde dem nicht zustimmen. Das Aufnehmen einer herkömmlichen Telefonleitung ist viel einfacher als das Hacken eines Remote-Servers. VOIP-Telefone erfordern eine neue Technik, sind aber auch nicht so schwierig - schließen Sie einen Hub an, verbinden Sie Ihren PC mit einem Port des Hubs, und Sie haben jetzt eine Kopie aller Pakete, und die VOIP-Decodierungssoftware ist im Überfluss vorhanden. Es ist wahrscheinlich schwieriger, ein Handysignal abzufangen, aber ich weiß nicht, habe es nicht getan.

Ein (möglicherweise wahrgenommener) Vorteil der Verwendung des Telefons über die E-Mail ist die Zusicherung, die Sie geben das Passwort für die Person, der Sie das Passwort geben möchten. Als Systemadministrator, der Kennwörter zurücksetzen muss, kann ich dies bestätigen. Wenn Sie eine E-Mail senden, wissen Sie nicht wirklich, wer am anderen Ende ist. Es kann sich um eine gefälschte E-Mail, ein entführtes Konto usw. handeln. Wenn Sie die Person kennen, können Sie die Stimme der Person erkennen. Sie können einige Fragen stellen, um die Authentizität zu überprüfen (Sie können dies auch per E-Mail tun, aber es besteht ein Sicherheitsgefühl, wenn Sie dies über das Telefon tun).

Jetzt muss ein Administrator ein Kennwort festlegen, das das Kennwort bleibt und nicht zuzulassen, dass der Benutzer sein eigenes Passwort festlegt, ist meiner Meinung nach eine wirklich schlechte Praxis, da diese Faktoren jetzt übertragen werden müssen und alles, was übertragen wird, für immer das Passwort sein wird.

Joe M
2018-08-16 23:08:35 UTC
view on stackexchange narkive permalink

Gibt es mehr in der Richtlinie? In vielen Organisationen geben sie telefonisch ein neues Passwort, müssen jedoch die Stimme der Person kennen und eine Frage beantworten (wer ist Ihr Chef, wann war Ihre letzte Bewertung).

Es ähnelt einem Multi-Faktor-Authentifizierungsprozess.

Sufferer
2018-08-17 02:52:40 UTC
view on stackexchange narkive permalink

Die Logik, die ich verwende, wenn ich darauf bestehe, das Passwort per Telefon oder Text zu senden, ist die Tatsache, dass es sich um einen zweiten Kanal handelt.

Selbst bei all den oben beschriebenen Unsicherheiten bei E-Mails, wenn die E-Mail mit gesendet wurde nur das Passwort darin, es gibt nicht genügend Informationen für böswillige Verwendung. Wenn Sie jedoch eine E-Mail abfangen, die eine ähnliche Bedeutung wie "Ihr Kennwort für Konto xxx im Dienst JJJ wurde in zzz geändert" hat, haben Sie alles, was Sie für den Zugriff auf das Konto benötigen.

Sie gehen davon aus, dass die E-Mail von einer Adresse in einer anderen Domain stammt.Wenn ein Angreifer eine E-Mail mit einem Passwort von "noreply@example.com" an "alice@gmail.com" erhält, meldet er sich zunächst bei example.com mit dem Benutzernamen "alice" und dem Passwort aus der E-Mail an.
Cort Ammon
2018-08-20 06:56:00 UTC
view on stackexchange narkive permalink

Im Moment ist es viel einfacher, eine E-Mail abzufangen. Dies kann sich in Zukunft ändern, aber vorerst:

  • E-Mails sind so konzipiert, dass sie für beliebig lange Zeiträume gespeichert werden. Sie können davon ausgehen, dass mindestens ein, wenn nicht mehrere Server alle Daten gespeichert haben.
  • E-Mails sind einfacher zu verarbeiten. Das Identifizieren von E-Mails mit Passwörtern ist relativ einfach. Es ist schwieriger, sie in Telefonanrufen zu identifizieren. Wenn ein Gegner zuhört, ist es offensichtlich trivial, das Passwort zu erfassen. Das Abhören erfordert jedoch mehr Ressourcen.
    • Irgendwann wird die KI dies viel einfacher machen. Dies scheint derzeit jedoch nicht der Fall zu sein.

Es hängt wirklich von Ihrem Bedrohungsmodell ab. Wie wertvoll ist dieses Passwort? Ich würde davon ausgehen, dass die Bankausweise eines Milliardärs besser geschützt sind als diese oder Verschlusssachen, aber je kleiner diese sind, desto mehr Ressourcen werden investiert, um die Informationen in den Vordergrund zu rücken.

Es ist nicht einfacher, eine E-Mail abzufangen.Es ist viel einfacher, einen Anruf über eine analoge Leitung abzufangen, als in den Datenpfad einer E-Mail-Transaktion zu gelangen - und außerdem verwenden E-Mail-Server beim Übertragen von Nachrichten häufig Verschlüsselung.
@alastair Stimmt das auch dann, wenn man nicht weiß, welche bestimmte E-Mail oder welcher Anruf wichtig war?Auf Anhieb scheint es einfacher zu sein, eine Million E-Mails zu erfassen und zu verarbeiten, als hundert Telefonanrufe zu erfassen und zu verarbeiten.Zumindest handeln wir tatsächlich nach der Illusion, dass das, was ich sage, wahr ist.In den USA ist die Vertraulichkeit von Anwälten und Mandanten gesetzlich geschützt, wenn Sie genügend Anstrengungen unternommen haben, um die Kommunikation zu schützen.Es gilt als "ausreichend geschützt" für einen Festnetzanruf, E-Mails jedoch nicht.
Das Verarbeiten von Telefonanrufen ist sicherlich schwieriger, aber ich denke, das Erfassen von Anrufen ist einfacher.Ich denke, wenn Sie sich auf die Computer- / Datenvernetzungsseite konzentrieren, scheint dies möglicherweise nicht so zu sein, aber Sie haben alle altmodischen Methoden zum Abhören von Telefongesprächen vergessen, die im Allgemeinen sehr viel einfacher sind als das Hacken von NetzwerkgerätenPakete abfangen.Die Verarbeitung ist auch nicht katastrophal schwierig (erfordert nur Spracherkennung oder Personal; sogar Mechanical Turk würde funktionieren).
Machavity
2018-08-21 20:17:16 UTC
view on stackexchange narkive permalink

Der Hauptgrund für einen Telefonanruf ist, dass Telefonanrufe immer noch anfällig für Social-Engineering-Angriffe sind, bei denen ein Anrufer eine vertrauenswürdige Person überreden kann, ihnen Zugriff zu gewähren

Auf dem Telefon habe ich ein automatisiertes Menü ausgewählt, um Hilfe beim Anmelden bei meinem Konto zu erhalten. Die Kundendienstmitarbeiterin Christine war sehr freundlich und fragte mich nach meiner E-Mail-Adresse und meiner Privatadresse, um mit mir zusammenzuarbeiten und Zugang zu meinem Konto zu erhalten.

Ich denke, wir haben unser Problem gefunden… Christine brauchte nur diese zwei Informationen, um mich auf mein Konto zu bekommen? Kein Passwort? Kein Handy? Keine andere Information? Was hindert jemanden daran, meine E-Mail-Adresse und Privatadresse aus einer Datenbank zu finden und anzurufen, um mein Konto zu übernehmen?

Damit niemand Ihre E-Mail (möglicherweise unverschlüsselt) abspüren kann, aber alles, was ich brauche, ist ihre Telefonnummer und ein paar Informationen über Sie und ich könnten dies tun

Hallo, das ist Chris Cirefice. Ich habe mein VPN-Login wieder verloren. Ich hätte schwören können, dass ich es aufgeschrieben habe. Kannst du mir ein neues geben? Wow, das wäre großartig, lass mich einen Stift und Papier holen ...

James Jenkins
2018-08-17 22:29:25 UTC
view on stackexchange narkive permalink

Es gibt mehrere gute Antworten, warum das Senden von Passwort = -wert- in einer E-Mail schlecht ist.

ABER

Niemand erwähnt dies, wenn das Passwort einfach genug ist, um es einfach zu machen per Sprache kommuniziert werden, ist wahrscheinlich nicht komplex genug, um effektiv zu sein, und die empfangende Partei wird wahrscheinlich auf ein Blatt Papier schreiben ...

Verwandte XKCD # 936: Kurzes komplexes Passwort, oder lange Wörterbuch-Passphrase?

Es ist nichts Falsches daran, Passwörter auf ein Blatt Papier zu schreiben.Viele sichere Informationen werden auf Papier geschrieben.Es sind die Schritte, die Sie unternehmen, um sicherzustellen, dass nur die richtigen Personen das wichtige Blatt Papier sehen können.
Angesichts der Tatsache, dass die Übermittlung langer Seriennummern oder Vertragsunterstützungsnummern mit einer Länge von mehr als 16 Zeichen über das Telefon ziemlich routinemäßig ist, verstehe ich nicht, warum die Übermittlung eines Kennworts mit mehr als 16 Zeichen schwieriger wäre.Ja, sie werden das komplexe Passwort aufschreiben, aber sie werden es trotzdem tun, wenn sie es per E-Mail erhalten.
@DougO'Neal Ein Passwort sollte auch Sonderzeichen enthalten, deren Namen die meisten Personen (oder zumindest ich) nicht kennen.
Außerdem scheint niemand die Vorstellung in Frage zu stellen, dass der Benutzer sein eigenes Passwort nicht in etwas ändern darf, das nur * sie * kennen.
@schroeder las die Frage erneut.Dies ist kein temporäres Passwort, sondern eine jährlich erforderliche Änderung, wobei das Passwort vom Anrufer bereitgestellt wird.Das OP hat keine Möglichkeit, es zu ändern.
Die Frage besagt nicht, dass die Benutzer ihre Passwörter nicht ändern können.Ein nachfolgender Kommentar zu einer anderen Antwort liefert diese Informationen.Dennoch sind 4 zufällige Wörter mehr als genug Komplexität.Und die Leute wissen, was ein "Leerzeichen" und Satzzeichen sind.Da die Benutzer das Kennwort in eine Konfigurationsdatei ihres VPN-Clients eingeben, wird es trotzdem "aufgeschrieben".
bluninja1234
2018-08-20 02:12:07 UTC
view on stackexchange narkive permalink

E-Mails werden im Allgemeinen nicht gespeichert, es können jedoch auch Funksignale gehackt und Festnetzanschlüsse abgehört werden. Der beste Weg, dies zu tun, ist mit einer https-Website.

Herzlich willkommen."E-Mails werden im Allgemeinen nicht gespeichert" - dies ist eine merkwürdige Meinung für mich, da E-Mail-Server E-Mails über einen längeren Zeitraum (sicherlich mehr als ein Jahr) protokollieren oder speichern und die E-Mails bis zum eigentlichen Versenden im Feld "gesendet" des Absenders vorhanden sindgereinigt.Ja, drahtlose Signale können gehackt werden, aber die damit verbundenen Fähigkeiten und das Timing scheinen ein erhebliches Hindernis zu sein.
Unternehmen müssen nicht selten * E-Mails speichern *.Und meiner Erfahrung nach werden sie es auch dann tun, wenn sie es nicht müssen.
:-) E-Mails * werden * in der Regel auf die eine oder andere Weise gespeichert, manchmal langfristig.Ich denke jedoch, dass der Kern der Sache hier darin besteht, dass es eine gute Wette ist, dass die meisten Angreifer nicht in der Lage sind, sowohl E-Mail * als auch * Telefonie zu gefährden. Die Verwendung von zwei getrennten Routen zur Kommunikation von Benutzername und Passwort ist daher ein Sicherheitsgewinn.Dies schützt immer noch nicht vor allen Angreifern.Wenn Ihr Gegner ein Nationalstaat ist, möchten Sie vielleicht noch extremere Maßnahmen ergreifen.
ES WAR EIN TYPO OK
MINUS DIE NICHT MENSCHEN TRAURIGEN


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...