对于一个Web应用程序,我们需要来存储和管理用户(SSO或openauth或不在桌面之外),我们管理重要业务数据的风险,使用它的风险有多大电子邮件地址+密码作为登录?
在过去的15年左右,加密和保护技术有所改进,但我们继续使用专有用户ID,类似于使用您的银行卡号进行网上银行业务;一个不会在别处重复使用的id。客户和产品所有者正在推动使用电子邮件地址,因为它更容易记住。
我担心有很多网站收集电子邮件+密码对,以便使用它们来破解其他网站;大概要求你注册一个简陋的服务或其他帐户。这项活动叫做什么?
我正在寻找一些文章或论点为什么使用电子邮件+密码来处理具有敏感商业/财务信息的网站会很危险;或者为什么它不那么糟糕。我再次意识到,配置我们自己的帐户并不是理想的事情,也不是在寻找外包认证的解决方案。
答案 0 :(得分:2)
"风险"如果没有风险评估和明确定义的系统边界,很难确定使用单一身份验证方法登录您的应用程序。
NIST 800-61和NIST 800-63为不同级别的敏感系统(在您的情况下,应用程序)提供了认证方法的指南。它将为您提供有关如何展示您的论点的想法,以及可能的替代解决方案,即,如果客户想要使用电子邮件地址进行身份验证,则需要多因素身份验证。这将减少与收集电子邮件地址和密码的恶意网站相关的风险。
请注意,还可以管理密码策略,以降低使用电子邮件和与该电子邮件关联的受损密码的单一身份验证方法背后的风险。
总而言之,它不是重要的ID,而是用于降低风险的身份验证方法和策略。
答案 1 :(得分:1)
使用电子邮件+密码作为凭据是允许用户登录网站的广泛接受的方法。
使用电子邮件的好处是每个人都记得他们的电子邮件地址,而如果这不是他们的电子邮件地址,人们将难以记住他们首次注册的用户名或用户ID。
Username should not be considered private。这是密码的工作。鼓励您的用户使用密码管理器,例如LastPass,它可以生成一个20个字符的完全随机密码(128位 - 不可破解),每个站点不同。如果这不是他们的电子邮件,LastPass将记住用户名,以便解决此问题,但是不使用电子邮件可能会带来其他问题,例如username enumeration。如果任何注册功能要求用户指定其用户名并且您说它已在使用中,则攻击者可以使用此功能缩小用户列表以准备密码猜测攻击。 If you ask for email as step one of password reminder or signup forms,如果已经注册,系统可以发送带有密码重置链接的电子邮件,或者如果没有,则发送包含指向注册过程中下一步的链接的电子邮件。
最后,它归结为应用程序保护的数据的价值。添加双因素身份验证始终是一个很好的步骤,可以防止密码猜测和密码重用。
SSO或露天场所或不在桌面上的东西
为什么会这样?你不能使用OAuth with claims based authorisation吗?您仍然可以保护您的应用程序,并确保只有正确的业务用户才能访问 - 这只是另一个实体正在为您管理访问权限。
我担心有很多网站收集电子邮件+密码对,以便使用它们来破解其他网站;大概要求你注册一个简陋的服务或其他帐户。这项活动叫做什么?
凭证收获?