Question:
Le service informatique ne donnera le mot de passe que par téléphone - mais est-ce vraiment plus sûr que le courrier électronique?
Chris Cirefice
2018-08-16 22:39:21 UTC
view on stackexchange narkive permalink

Chaque année, une réinitialisation automatique du mot de passe se produit sur un compte VPN que j'utilise pour me connecter aux serveurs de l'institution. Les comptes / mots de passe VPN sont gérés par le service informatique de l'institution, je dois donc envoyer un e-mail chaque année pour faire un suivi avec le contrôleur de compte afin d'obtenir le nouveau mot de passe. Cela se termine toujours par un appel téléphonique , car leur politique est de ne pas envoyer de mots de passe par e-mail.

Je comprends vaguement pourquoi l'envoi de mots de passe par e-mail est mauvais, mais honnêtement, je Je ne comprends pas pourquoi il serait préférable de donner un mot de passe à quelqu'un sur un téléphone . En supposant que j'ai 0% de chances de modifier leur politique (je n'ai vraiment aucune chance), pourquoi est-ce que dire à quelqu'un un mot de passe lors d'un appel téléphonique serait plus sûr que le courrier électronique?

I je me concentre principalement sur la possibilité pour le téléphone / e-mail d'être intercepté par un tiers , mais @Andrew a soulevé un bon point sur la permanence des e-mails.

Il y a de très bonnes informations dans ce Q / R, mais cette question concerne le moyen le plus sûr d'envoyer des informations de connexion, alors que je pose spécifiquement des questions sur la sécurité des appels téléphoniques et des e-mails.

Un appel téléphonique n'est généralement pas enregistré pour un historique indéfini, alors qu'un e-mail n'est généralement pas supprimé.La sécurité du transport dépend de beaucoup de choses (téléphone: était-ce une ligne fixe, 2G / 3G / 4G, VoIP; email: SMTP utilise-t-il TLS, le client utilise-t-il TLS, etc.)
@dandavis Ce n'est pas parce que votre connexion à gmail ou à tout autre élément est sécurisé que le message sera crypté jusqu'à la destination.https://superuser.com/questions/260002/why-are-email-transfers-between-mail-servers-often-not-encrypted
Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/81926/discussion-on-question-by-chris-cirefice-it-will-only-give-password-over-phone).
Si seulement il y avait un canal sécurisé ... comme le VPN déjà existant
Quelques points clés à retenir lorsque l'on parle de mots de passe plus sécurisés est que si l'utilisateur final a le téléphone sur le haut-parleur, répète le mot de passe ou l'écrit pour qu'il s'en souvienne, la sécurité supplémentaire de ne pas passer par e-mail peut être perdue en particulier.s'il s'agit d'un mot de passe, ils ne sont pas obligés de changer ou ne peuvent pas changer.Un autre point clé est que tout le monde ne peut pas utiliser le téléphone, comme les sourds, les malentendants et les personnes qui ont perdu la voix pour une raison quelconque, ce qui signifie que d'autres moyens de donner un mot de passe à l'utilisateur sont nécessaires.
En fait, avoir quelqu'un au téléphone vous donnant le mot de passe est déjà une personne de trop connaissant ce mot de passe ... Et c'est une indication que cette réinitialisation de mot de passe est gérée de telle manière qu'il y a quelque part une liste de tous ces mots de passe en texte clair (ou quel que soit le cryptage bidirectionnel).Je suis surpris qu'ils passent par un tel tracas alors que l'ensemble du processus présente déjà depuis le début des failles de sécurité que je trouve plus inquiétantes.Et je ne suis pas un expert en sécurité ...
Une raison supplémentaire pourrait être la vérification si une personne réelle utilise toujours le compte.Un modèle de menace pourrait être un piratage de compte, où l'utilisateur d'origine n'utilise même plus le compte.- Dans ce cas, l'attaquant aurait besoin de simuler une conversation personnelle complète, ce qui est beaucoup plus difficile pour un botnet ou un locuteur non natif qui aurait pu compromettre le compte.
Un aspect crucial de la 2FA est que les facteurs doivent être des flux de livraison totalement indépendants.Ainsi, une authentification 2FA qui est un mot de passe plus une carte à puce, ou un mot de passe plus un échange de clé, n'est pas vraiment efficace.Les trois sont de bonnes méthodes d'authentification, mais les combiner n'impose pas deux facteurs.Un appel téléphonique ferait cela (en supposant que vous ne répondiez pas à votre téléphone via une application de bureau) ainsi que l'avantage supplémentaire mentionné par Andrew Greer de ne laisser aucun enregistrement de l'audio de l'appel téléphonique.
Douze réponses:
Andrew Greer
2018-08-16 22:42:32 UTC
view on stackexchange narkive permalink

Les e-mails sont enregistrés quelque part, que ce soit sur un serveur de messagerie ou sur l'ordinateur personnel de quelqu'un. Les appels téléphoniques ne le sont généralement pas, sauf s'il s'agit d'un environnement orienté client.

C'était aussi ma première pensée.Une autre chose sur laquelle vous pourriez élaborer est la sécurité du transport des deux méthodes.(Voir aussi mon commentaire sur la question.)
@Luc C'est ce sur quoi je m'étais concentré au départ, mais Andrew fait un bon point sur la persistance de tout cela.Je pensais à l'origine à la manière dont un e-mail ou un appel téléphonique pourrait être intercepté par un tiers.
@ChrisCirefice - Bien que les téléphones puissent être mis sur écoute, il est beaucoup moins probable que les systèmes informatiques soient compromis.Surtout s'il y a une ligne fixe impliquée (... bien que ces jours-ci, pas susceptible d'avoir une ligne fixe, mais de nombreuses entreprises peuvent en effet encore les utiliser).
Facile à lire un e-mail par-dessus votre épaule, pas aussi facile pour un appel téléphonique.
Par principe, mon entreprise enregistre * tous * les appels téléphoniques, entrants et sortants.Les enregistrements sont enregistrés sur le cloud derrière les informations d'identification, et si un administrateur ou l'utilisateur qui a passé l'appel le souhaite, il peut télécharger l'enregistrement et l'envoyer par e-mail.Bien que ce ne soit pas courant, cela arrive.
Les appels téléphoniques internes de l'entreprise peuvent ne pas être enregistrés.Cependant, certains pays commandent des équipements téléphoniques avec une capacité de stockage massive.
@JM-AGMS Même dans ce cas, il est plus difficile de scanner un référentiel audio entier pour un mot de passe qu'un référentiel de texte.Bien que ... je suppose que vous pourriez passer un processus audio-texte à l'ensemble et ensuite rechercher des mots similaires à "mot de passe"
À moins que vous ne soyez négligent avec votre mot de passe PGP, personne d'autre ne devrait être en mesure de déchiffrer l'e-mail dans un avenir prévisible, alors pourquoi le stockage pose-t-il un problème?
Ou une écoute clandestine
Il est illégal d'enregistrer des appels téléphoniques.Cela a été dans les livres de droit depuis peu de temps après qu'il y ait eu des téléphones.Dans certains États, cela nécessite le consentement de toutes les parties.Dans d'autres États, un interlocuteur unique, mais cela signifie toujours que le système ne peut pas enregistrer tous les appels avec le consentement de 0 partie.S'il s'agit d'un appel inter-États, * la loi la plus restrictive s'applique *.
@Harper C'est juste les États-Unis.Au Royaume-Uni, il est courant que les appels téléphoniques soient enregistrés avec un simple préavis plutôt qu'avec un consentement.
@Harper: En outre, lors de l'utilisation d'un téléphone d'entreprise, il est souvent considéré comme une affaire d'entreprise, et l'entreprise est informée.
@Harper Vous avez sûrement appelé une entreprise et vous l'avez fait vous informer que "cet appel peut être surveillé / enregistré à des fins d'assurance qualité" auparavant?Il n'est certainement pas illégal pour eux d'enregistrer ces appels.
*Exactement*.Ils doivent vous en aviser, et si vous choisissez de rester en ligne de toute façon, c'est un consentement.Ils ne peuvent pas simplement aller "la la la, nous sommes la société et possédons le standard et nous donnons leur consentement".Le courrier électronique peut fonctionner de cette façon, mais les lois sur l'écoute électronique sont un peu plus anciennes et ont été écrites lorsque les entreprises n'étaient pas des personnes.
Un autre aspect important est que le nom d'utilisateur et le mot de passe passent par des canaux différents: le service informatique ** fera ** des fautes de temps en temps, mais tant que l'adresse e-mail tapée n'appartient pas à la même personne que lenuméro de téléphone tapé (ce doit être le service informatique qui lance l'appel au numéro indiqué dans l'annuaire officiel), les informations d'identification complètes ne fuiront jamais.
Les politiques de sécurité @TobySpeight ne sont pas et ne devraient pas être conçues en supposant que votre population est consciente de la sécurité (c'est-à-dire en utilisant des clés PGP)
Pour toute entreprise traitant avec l'Europe, le RGPD est une bien meilleure raison (et j'aimerais publier cela comme réponse).En envoyant un e-mail, l'entreprise doit se conformer à la loi relative au stockage de ces données.Cela a un nombre important de maux de tête associés.Le suivi des e-mails est un lieu courant. Si l'entreprise n'enregistre PAS l'appel téléphonique, cela ne relève pas du RGPD;et en tant que tel, beaucoup moins de soins sont nécessaires.
Ben
2018-08-17 13:11:30 UTC
view on stackexchange narkive permalink

Cette politique est courante lorsque les noms d'utilisateur et les mots de passe sont envoyés via des canaux distincts.

Les canaux n'ont pas d'importance, du moment que les paires d'authentification sont séparées et envoyées via différentes méthodes.

C'est la meilleure pratique acceptée car intercepter les deux bons canaux est beaucoup plus difficile que de regarder un canal pour que la paire d'authentification passe simplement.

Le raisonnement derrière cela est que les changements de mot de passe ne sont pas simplement lorsque vous oubliez un mot de passe, mais que vous soupçonnez qu'un compte a été compromis. Pour cette raison, les changements de mot de passe sont effectués "hors bande" pour garantir que les mises à jour de mot de passe ne sont pas facilement capturées.

Dans le monde de la sécurité informatique, il ne s'agit parfois pas d'être parfaitement sécurisé. Il est acceptable d'être juste assez dur pour que les attaquants aillent essayer ailleurs.

+1 Ajout à ceci: S'il est plus facile pour un attaquant de vaincre le mécanisme de réinitialisation de mot de passe que de deviner / hameçonner votre mot de passe, alors votre site n'est pas vraiment protégé par mot de passe, n'est-ce pas?
D'accord (et avec un vote favorable!): La réponse est "canaux séparés" :) Je ferais un petit peu attention au dernier paragraphe, cependant, en ce sens que ce n'est pas tant que les gens "essaieront ailleurs" que cette "défense en profondeur"tout sur la sécurité en couches, dont aucune couche ne peut être une défense complète contre toutes les attaques possibles.
Mike Ounsworth
2018-08-16 22:49:52 UTC
view on stackexchange narkive permalink

Les e-mails peuvent (bien que comme le souligne @Luc, pas toujours) être envoyés en texte clair sur Internet. Cela signifie qu'ils peuvent être enregistrés par votre fournisseur de messagerie, votre FAI, le fournisseur de services Internet de votre destinataire, le fournisseur de messagerie de votre destinataire ou tout autre équipement réseau intermédiaire. En tant qu'expéditeur, vous n'avez pas non plus de contrôle sur qui regarde par-dessus l'épaule de la personne lorsqu'elle ouvre l'e-mail.

Avec un appel téléphonique, vous avez plus de contrôle sur la vérification que vous parlez au bon personne, ils peuvent refuser de répondre s'ils se trouvent dans un lieu public, etc. De plus, bien qu'il n'y ait aucune garantie que cela ne soit pas enregistré, au moins il y a de bonnes chances - contrairement aux e-mails qui ont 100% de chances d'être dans certains base de données quelque part.

Cependant, une grande partie de la VoIP est transportée en clair sur les réseaux locaux et Internet.Et du côté TDM du réseau téléphonique, il n'y a aucun cryptage ou authentification.
@user71659 Assez juste.Je n'ai aucune expérience en téléphonie.Avec les journaux de texte des serveurs de messagerie, etc., il est très facile de ctrl + f pour les mots de passe.En supposant un réseau téléphonique non crypté et / ou des paquets VoiP, est-il également facile d'extraire le mot de passe?
Notez que nous parlons ici d'une entreprise.Vraisemblablement, les e-mails internes ne quitteront jamais leurs locaux.Donc oui, je souligne qu'il n'est pas toujours envoyé en texte clair, mais pour être complet, dans ce scénario particulier, il est en fait * probable * qu'il soit envoyé en toute sécurité.Les appels téléphoniques, par contre, quittent presque toujours les locaux car les gens n'appellent généralement que via des téléphones portables de nos jours (encore une fois, le cas est différent pour la VoIP interne ou DECT, ou dans le cas de CCC: GSM)
@MikeOunsworth Il est certainement plus difficile de gérer les enregistrements vocaux (payer quelqu'un pour transcrire sur Mechanical Turk est une idée).Cependant, si tout le monde se réinitialise à la même période de l'année, vous pouvez, par exemple, filtrer le SIP et enregistrer les flux pour les appels courts au helpdesk informatique.
@Luc Si vous supposez que les e-mails internes ne quittent pas les locaux, un appel PBX interne ne le ferait pas non plus.Le service informatique peut faire quelque chose comme vous appeler uniquement à votre bureau comme indiqué dans l'annuaire de l'entreprise.
@user71659 Les gens n'utilisent-ils généralement pas de téléphones portables au lieu de téléphones fixes de nos jours?Je me trompe peut-être, je n'ai pas effectué d'enquête auprès de milliers d'entreprises à travers le monde, mais d'après mon expérience, vous obtenez généralement un smartphone avec un numéro régulier sur un réseau national, et c'est votre numéro de téléphone principal que l'entreprise doit atteindre.toi.
@Luc Pas aux États-Unis.Mon opinion est qu'un téléphone de bureau est plus confortable à utiliser, a une meilleure acoustique, n'utilise pas de compression de la parole lourde, n'a pas de pertes.C'est une expérience bien plus professionnelle.Vous avez également des problèmes lorsque quelqu'un doit appeler le 911 et bénéficier d'une couverture, comme un bureau dans un sous-sol.Les États-Unis aussi, jusqu'à il y a quelques années, avaient des problèmes fiscaux en annulant les téléphones portables.
@Luc Un peu de catch-22 là-bas: lorsque vous réinitialisez votre mot de passe VPN, vous obtenez le nouveau par e-mail, qui ne quitte jamais le réseau d'entreprise, auquel vous avez besoin d'un VPN pour accéder.Il semble que l'OP envoie des e-mails au service informatique depuis l'extérieur du VPN et souhaite que le mot de passe soit renvoyé de cette façon.
@Luc En ce qui concerne les téléphones mobiles, mon entreprise utilise également des téléphones / logiciels de bureau VoiP où je présume que le trafic des appels internes reste interne au réseau de l'entreprise ou au moins au réseau du fournisseur VoiP.
@user71659 Un attaquant VoIP doit avoir une présence préétablie pour proxy la session, avoir accès pour vider une interface réseau intermédiaire, ou est bloqué en essayant de falsifier une partie et de forcer une renégociation de session en direct.Vous devez avoir une présence assez importante ou beaucoup de temps de préparation pour ce faire.Ce n'est certainement pas impossible, mais j'appellerais cela une attaque beaucoup plus sophistiquée, et certainement beaucoup plus difficile à faire sans laisser de preuves.
@IronGremlin Et en quoi sont-ils différents de l'interception d'e-mails en transit?C'est tout le trafic IP.
@user71659 Parce qu'il est difficile d'acheminer un appel VoIP via un proxy, même si vous le faites en tant que proxy légitime et autorisé dont les deux points de terminaison sont conscients.
@IronGremlin Je ne comprends pas.Les SBC sont standard dans toute architecture lorsque vous quittez l'entreprise.Si vous avez TDM, vous avez une passerelle multimédia.Asterisk est un B2BUA.Si je fais une conférence téléphonique sur Cisco CallManager, il insère automatiquement un pont de conférence de manière transparente.Lorsque mon softphone est hors de notre réseau local, il passe automatiquement par le biais de Cisco Expressway.Lorsque j'appelle depuis mon téléphone VoLTE, il met en place un tunnel IPSEC vers le P-CSCF.Lorsque je maintiens mon téléphone en attente, une ré-invitation SIP établit essentiellement un nouvel appel avec le flux de musique d'attente ...
@Luc, votre hypothèse selon laquelle les e-mails ne quittent pas les locaux n'est malheureusement plus vraie (même en supposant que l'utilisateur ne les télécharge pas hors site).Ici, notre système de messagerie est géré par les serveurs de Microsoft;au dernier endroit, c'était Google.
@ChrisH C'est inclus dans "Ne pas quitter les lieux": si vous leur faites confiance avec tous vos e-mails en premier lieu, cela ne fera pas de différence qu'ils effectuent également le transit interne des e-mails.
Pour les cas non VoIP, sauf si vous utilisez un matériel spécial, l'audio est presque toujours envoyé non chiffré;vous pourriez indiquer par exempletéléphones portables et dire qu'il y a un cryptage, ce qui est vrai, mais cela ne couvre que la partie radio de l'appel.Sur le réseau téléphonique lui-même, il n'est pas chiffré et peut facilement être intercepté par toute personne ayant accès au réseau.De plus, dans le cas de «l'e-mail non chiffré sur Internet pourrait être enregistré», bien que techniquement vrai, le fait que le réseau soit commuté par paquets signifie que ce n'est souvent pratique que pour les parties dont l'équipement est * nécessairement * dans le chemin des données.
@alastair D'accord.Je ne pense pas que quiconque ici prétende qu'il est impossible d'écouter la téléphonie ou qu'il est toujours possible d'intercepter les courriels;juste que _en général_, il est plus facile de mettre la main sur et d'extraire les mots de passe des données textuelles des e-mails par rapport aux données vocales.
Certainement plus facile à extraire des données texte plutôt que des données vocales (bien que la conversion de la voix en texte ne dépasse pas l'esprit de l'homme).Quant à mettre la main dessus, cela dépend beaucoup de la situation;en particulier, si l'une des approches traditionnelles à faible technologie est une option, alors c'est vraiment très facile par rapport à tout type de situation de piratage / accès au réseau requis.J'ai tendance à penser que la sécurité de la téléphonie est surestimée et celle du courrier électronique sous-estimée parce que beaucoup d'entre nous se concentrent trop sur le côté numérique des choses et oublient les choses à l'ancienne.
AMADANON Inc.
2018-08-17 12:24:19 UTC
view on stackexchange narkive permalink

Même si la conversation par e-mail et par téléphone sont enregistrées, il est beaucoup plus facile de rechercher un mot de passe dans une base de données de messagerie que de rechercher des enregistrements vocaux.

Cependant, les meilleures pratiques indiquent que une et une seule personne doit connaître le mot de passe d'un compte, et c'est la personne qui possède le compte. L'administrateur ne doit pas le savoir, pas plus que le serveur (c'est-à-dire le mot de passe haché).

La façon habituelle de le faire serait: si le mot de passe a récemment (pour une valeur donnée de récemment) expiré, l'utilisateur peuvent utiliser leur ancien mot de passe, mais immédiatement après s'être authentifiés (avant de se connecter), ils sont contraints de changer leur mot de passe, puis immédiatement déconnectés. Si le mot de passe a expiré il y a quelque temps, l'administrateur peut marquer le mot de passe expiré comme "récemment expiré" pendant une courte période (par exemple, 10 minutes). L'administrateur n'a pas besoin de savoir quel est ce mot de passe. Si l'utilisateur a oublié son mot de passe, l'administrateur peut émettre un mot de passe de courte durée (par exemple 10 minutes) qui force également le changement immédiat de mot de passe.

Aussi, si un utilisateur a changé son propre mot de passe au cours de la dernière année , ils devraient être exemptés du changement (jusqu'à exactement 1 an après leur dernier changement).

La théorie selon laquelle un mot de passe devrait être changé une fois par an est également extrêmement douteuse, dans la plupart des cas - si un mot de passe est compromis, il est généralement exploité au maximum immédiatement. Ne donner à un attaquant «que» 6 mois d'accès (en moyenne) semble assez inutile (ou «seulement» 6 jours d'ailleurs). Cela suggère une authentification à 2 facteurs, le deuxième facteur étant unique à chaque fois (Google Authenticator, OTP, OPIE, défi-réponse, etc.), si la ressource mérite d'être protégée.

Un administrateur ne doit pas connaître le mot de passe d'un utilisateur, si cela peut être évité. Si nécessaire, ils devraient avoir la possibilité de devenir un autre utilisateur avec leur PROPRE mot de passe, qui est ensuite écrit dans un journal d'audit. Ceci est particulièrement important s'il existe plusieurs niveaux d '"administrateur" (c'est-à-dire s'il y a des personnes qui peuvent changer les mots de passe, mais sans affecter le journal d'audit).

Obscurcissements mineurs (tels que la sécurité par l'audio, l'image, etc. ), sont dangereux, car ils favorisent la complaisance sans sécurité.

Oui, mais il serait assez facile d'ajouter un obstacle ici en envoyant uniquement un fichier image avec le nom «kitten.gif» qui contient en fait une «capture d'écran» du texte «new password: pwd1234».Un attaquant déterminé sera capable de casser cela aussi bien qu'un enregistrement téléphonique, mais pas simplement avec `grep`.L'une ou l'autre méthode n'est que la sécurité par l'obscurité.
Scott McMahan
2018-08-18 12:44:58 UTC
view on stackexchange narkive permalink

Dans un système sécurisé, les mots de passe fournis par le service informatique ne doivent être que temporaires, à usage unique, des chaînes aléatoires, de sorte que l'utilisateur doit immédiatement le saisir et le remplacer par son nouveau mot de passe secret. Le service informatique ne doit jamais connaître ni transmettre le mot de passe «réel» d'un utilisateur.

Les utilisateurs doivent être contrôlés avant la réinitialisation et c'est beaucoup plus facile à faire par appel vocal, poser une question, obtenir une réponse, c'est fait.

Même si le temp. mot de passe est entendu lors d'un appel, il n'y aurait pas de temps pour l'utiliser. Les e-mails, cependant, sont parfois négligés pendant un certain temps avant d'être lus, ce qui donne à un attaquant la possibilité de faire de son mieux.

De plus, un appel vocal enregistré peut être utilisé pour identifier si un utilisateur a été usurpé ultérieurement, alors que vous ne pouvez pas dire qui a regardé un écran de messagerie ouvert ou un serveur de messagerie distant.

Mes 10 ans d'expérience dans un environnement d'institution financière, ce niveau de sécurité peut ne pas être économiquement justifié si les besoins de sécurité sont moins stricts. Payer pour les services informatiques coûte cher et la plupart des systèmes / applications utilisent de toute façon la sécurité basée sur le Web, de sorte que les jours de réinitialisation vocale des mots de passe informatiques sont comptés dans tous les cas.

Je suis d'accord avec votre réponse, mais malheureusement, il n'y a pas de gestion des mots de passe du côté de l'utilisateur final dans ce système VPN.Le service informatique définit donc le mot de passe et le modifie chaque année.Ce n’est pas du tout un système sécurisé, car le service informatique connaît tous les mots de passe des utilisateurs.Pire encore, le mot de passe n’était pas à haute entropie (8 caractères et 2 chiffres, pas de symboles).
ETL
2018-08-17 02:27:06 UTC
view on stackexchange narkive permalink

La sécurité d'un e-mail est difficile à établir. L'e-mail est très probablement conservé dans des archives (il existe même des réglementations pour certaines entreprises). Donc, envoyer un mot de passe dans un e-mail est une mauvaise idée de ce point de vue. Une interception d'e-mails peut également se produire.

Par contre, le téléphone est moins susceptible d'être enregistré, mais une interception ou un enregistrement téléphonique peut exister. Ce n'est donc pas une si bonne idée. J'ai lu un commentaire selon lequel les lignes fixes sont plus difficiles à exploiter que les systèmes informatiques - je ne suis pas d'accord. Enregistrer une ligne téléphonique traditionnelle est beaucoup plus simple que de pirater un serveur distant. Les téléphones VOIP nécessitent une nouvelle technique mais pas si difficile non plus - branchez un hub, connectez votre PC à un port du hub, et vous avez maintenant une copie de tous les paquets, et les logiciels de décodage VOIP abondent. Il est probablement plus difficile d'intercepter un signal de téléphone portable, mais je ne sais pas, je ne l'ai pas fait.

L'un des avantages (peut-être perçu) de l'utilisation du téléphone par e-mail est l'assurance que vous donnez le mot de passe de la personne à qui vous souhaitez donner le mot de passe. Étant moi-même administrateur système, qui doit réinitialiser les mots de passe, je peux en attester. Si vous envoyez un e-mail, vous ne savez pas vraiment qui est à l'autre bout du fil. Il peut s'agir d'un e-mail usurpé, d'un compte piraté, etc. Si vous connaissez la personne, vous pouvez reconnaître sa voix. Vous pouvez poser des questions pour vérifier l'authenticité (vous pouvez également le faire par e-mail, mais il y a un sentiment de sécurité lorsque vous le faites par téléphone).

Maintenant, avoir un administrateur défini un mot de passe et qui reste le mot de passe et ne pas laisser l'utilisateur définir son propre mot de passe est une très mauvaise pratique à mon avis en raison de ces facteurs, le mot de passe doit maintenant être transmis et tout ce qui est transmis sera le mot de passe pour toujours.

Joe M
2018-08-16 23:08:35 UTC
view on stackexchange narkive permalink

Y a-t-il plus à la politique? Dans de nombreuses organisations, ils donneront un nouveau mot de passe au téléphone, mais ils doivent connaître la voix des personnes et répondre à une question (qui est votre patron, à quand remonte votre dernier examen).

C'est un peu similaire à un processus d'authentification multifacteur.

Sufferer
2018-08-17 02:52:40 UTC
view on stackexchange narkive permalink

La logique que j'utilise lorsque j'insiste pour utiliser le téléphone ou le texte pour envoyer le mot de passe est le fait qu'il s'agit d'un deuxième canal.

Même avec toutes les insécurités détaillées ci-dessus concernant l'e-mail, si l'e-mail a été envoyé avec seulement le mot de passe, il n'y a pas assez d'informations pour une utilisation malveillante. Cependant, si vous interceptez un e-mail qui a une signification similaire à "Votre mot de passe pour le compte xxx sur le service yyy a été changé en zzz", vous avez tout ce dont vous avez besoin pour accéder au compte.

Vous supposez que l'e-mail provient d'une adresse appartenant à un domaine différent.Si un attaquant reçoit un e-mail avec un mot de passe de "noreply@example.com" à "alice@gmail.com", la première chose qu'il essaiera est de se connecter à example.com avec le nom d'utilisateur "alice" et le mot de passe de l'e-mail.
Cort Ammon
2018-08-20 06:56:00 UTC
view on stackexchange narkive permalink

Pour le moment, il est beaucoup plus facile d'intercepter un e-mail. Cela peut changer à l'avenir, mais pour le moment:

  • Les e-mails sont conçus pour être stockés pendant des périodes de temps arbitrairement longues. Vous pouvez vous attendre à ce qu'au moins un, sinon plusieurs serveurs aient sauvegardé toutes les données.
  • Les e-mails sont plus faciles à traiter. Identifier les e-mails contenant des mots de passe est relativement simple. Les identifier lors d'appels téléphoniques est plus difficile. Si un adversaire écoute, il sera évidemment trivial de capturer le mot de passe. Cependant, l'écoute nécessite plus de ressources.
    • À un moment donné, l'IA va rendre cela beaucoup plus facile. Mais cela ne semble pas être le cas pour le moment.

Cela dépend vraiment de votre modèle de menace. Quelle est la valeur de ce mot de passe? Je suppose que les informations d'identification bancaires d'un milliardaire seraient mieux protégées que cela, ou des informations classifiées, mais plus les informations sont petites, plus les ressources investies pour obtenir les informations commencent à avoir de l'importance.

Il n'est pas plus facile d'intercepter un e-mail.Il est beaucoup plus facile d'intercepter un appel téléphonique sur une ligne analogique que d'entrer dans le chemin des données d'une transaction par e-mail - et de plus, les serveurs de messagerie utilisent souvent le cryptage lors du transfert de messages.
@alastair Est-ce vrai même si l'on ne sait pas quel e-mail ou appel téléphonique était important?Désormais, il semble plus facile de capturer et de traiter un million d'e-mails qu'il n'en faut pour capturer et traiter une centaine d'appels téléphoniques.À tout le moins, nous agissons en effet sur l'illusion que ce que je dis est vrai.Aux États-Unis, la confidentialité avocat-client est légalement protégée si vous avez déployé suffisamment d'efforts pour protéger la communication.Il est considéré comme «suffisamment protégé» pour un appel téléphonique fixe, mais les e-mails ne le sont pas.
Le traitement des appels téléphoniques est certainement plus difficile, mais je pense que la capture des appels est plus facile.Je pense que si vous vous concentrez sur le côté informatique / réseau de données, cela ne semble pas être le cas, mais vous avez oublié toutes les méthodes anciennes d'écoute des conversations téléphoniques, qui sont généralement beaucoup plus faciles que le piratage de matériel réseau.pour intercepter les paquets.Le traitement n'est pas non plus extrêmement difficile (nécessite simplement une reconnaissance vocale ou de la main-d'œuvre; même Mechanical Turk fonctionnerait).
Machavity
2018-08-21 20:17:16 UTC
view on stackexchange narkive permalink

Le principal hic lors d'un appel téléphonique est que les appels téléphoniques sont toujours sujets aux attaques d'ingénierie sociale, où un appelant peut cajoler une personne de confiance pour lui donner accès

Au téléphone, j'ai sélectionné un menu automatisé pour «obtenir de l'aide pour me connecter à mon compte». La représentante du service client, Christine, était très sympathique et m'a demandé mon adresse e-mail et mon adresse personnelle afin de travailler avec moi pour accéder à mon compte.

Je pense que nous avons trouvé notre problème… Christine n'en avait besoin que deux informations pour me connecter à mon compte? Pas de mot de passe? Pas de téléphone portable? Aucune autre information? Qu'est-ce qui empêche quelqu'un de trouver mon adresse e-mail et mon adresse personnelle dans une base de données et d'appeler pour reprendre mon compte?

Personne ne peut donc renifler votre e-mail (potentiellement non chiffré), mais tout ce dont j'ai besoin est leur numéro de téléphone et un peu d'informations sur vous et je pourrais faire ça

Bonjour, c'est Chris Cirefice. J'ai de nouveau perdu ma connexion VPN. Je pourrais jurer que je l'ai écrit, pouvez-vous m'en donner un nouveau? Wow, ce serait super, laissez-moi prendre un stylo et du papier ...

James Jenkins
2018-08-17 22:29:25 UTC
view on stackexchange narkive permalink

Il y a plusieurs bonnes réponses sur les raisons pour lesquelles envoyer Password = -value- dans un e-mail est mauvais.

MAIS

Personne ne mentionne que si le mot de passe est assez simple pour facilement être communiqué par la voix, il n’est probablement pas assez complexe pour être efficace et le destinataire va probablement écrire sur un morceau de papier ...

Associé XKCD # 936: Mot de passe court et complexe longue phrase de passe du dictionnaire?

Il n'y a rien de mal à écrire des mots de passe sur une feuille de papier.De nombreuses informations sécurisées sont écrites sur des morceaux de papier.Ce sont les mesures que vous prenez pour vous assurer que seules les bonnes personnes peuvent voir le morceau de papier qui compte.
Étant donné que la communication de longs numéros de série ou de numéros de support contractuel, d'une longueur de 16 caractères ou plus, est assez courante au téléphone, je ne vois pas pourquoi la communication d'un mot de passe de 16 caractères ou plus serait plus difficile.Oui, ils écriront le mot de passe complexe, mais ils le feront de toute façon s'ils le reçoivent par courrier électronique.
@DougO'Neal Un mot de passe doit également contenir des caractères spéciaux, dont la plupart des gens (ou du moins moi) ne sont pas familiers.
De plus, personne ne semble remettre en question la notion selon laquelle l'utilisateur n'est pas autorisé à changer son propre mot de passe en quelque chose qu'il connaît.
@schroeder a relu la question.Ce n'est pas un mot de passe temporaire, c'est un changement annuel obligatoire, avec le mot de passe fourni par l'appelant.L'OP n'a pas la possibilité de le modifier.
La question ne dit pas que les utilisateurs ne peuvent pas changer leurs mots de passe.Mais un commentaire ultérieur sur une autre réponse fournit cette information.Pourtant, 4 mots aléatoires sont plus que suffisants de complexité.Et les gens savent ce que sont un «espace» et des signes de ponctuation.Comme les gens vont entrer le mot de passe dans un fichier de configuration de leur client VPN, il sera de toute façon «écrit».
bluninja1234
2018-08-20 02:12:07 UTC
view on stackexchange narkive permalink

Les e-mails ne sont généralement pas enregistrés, mais les signaux sans fil peuvent être piratés, ainsi que l'écoute électronique des lignes fixes. le meilleur moyen d'y parvenir est d'utiliser un site Web https.

Bienvenue."Les e-mails ne sont généralement pas enregistrés" - c'est une opinion étrange pour moi car les serveurs de messagerie enregistrent ou stockent les e-mails pendant des périodes prolongées (certainement plus d'un an), et les e-mails existeront dans la boîte "envoyés" de l'expéditeur jusqu'à ce que spécifiquementpurgé.Oui, les signaux sans fil peuvent être piratés, mais la compétence et le timing impliqués semblent être un obstacle important.
Il n'est pas rare que les entreprises soient * obligées * de sauvegarder leurs e-mails.Et d'après mon expérience, ils le feront même s'ils n'ont pas à le faire.
:-) Les e-mails * sont * généralement enregistrés, d'une manière ou d'une autre, parfois à long terme.Cependant, je pense que le nœud du problème ici est qu'il y a fort à parier que la plupart des attaquants ne seront pas en mesure de compromettre à la fois la téléphonie par e-mail * et *, donc l'utilisation de deux routes distinctes pour communiquer le nom d'utilisateur et le mot de passe est une sécurité gagnante.Cela ne protégera toujours pas contre tous les attaquants;si votre adversaire est un État-nation, vous voudrez peut-être prendre des mesures encore plus extrêmes.
C'ÉTAIT UN TYPO OK
MOINS LES GENS DÉSOLÉS


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...