メールが安全でない場合、なぜそれをパスワードのリセットに使用するのですか?
今日、私は同僚に「メールは安全ではないため、安全なレポートアプリケーションを開発した」と言っていました。
しかし、それは私を襲いました、なぜ電子メールは安全でないと考えられているのですか?安全性が非常に低い場合、なぜパスワードのリセットが信頼できるのですか?
質問したことはありません...
これ以上良いものはありませんであるため、パスワードのリセットはメールで行われます。 「私たちは電子メールを完全に信頼している」のように、それは本当に信頼の問題ではありません。それは、「ええと、まるで私たちに選択肢があったかのように...」のようなものです。
特に、コンシューマーとのWebベースのビジネスの場合:コンシューマーは、動的IPアドレス(ISPログを明らかにするための令状を伴う警察活動の一部として以外は使用できません)、可能なクレジットカードの詳細(idem)、および顧客は私たちに伝えることを受け入れ、これはせいぜい有効なメールアドレスです。だから、メール。
ご存知のように、ブラウザで開いたリンクはエンドポイントにトンネルされません。したがって、多くの攻撃に対してオープンです。ただし、そのために他の検証方法が組み込まれています。例として、多くのシステムは2または3要素の認証方法を提供しています。これには、実装/展開/保守コストが含まれます。ただし、協調的な方法があります。
- モバイル確認コード(ただし、SMSは安全な方法ではありません)。
- 秘密の質問や暗証番号への回答など、知っているもの(そしてあなたが持っているものはあなたが得たリンクと見なすことができるもの)を使って自分自身を確認してください。ほとんどの場合、次のページはssl/tlsによって保護されています。セキュリティカード(スマートカードなど)でも統合または使用して、電子メールアドレスの有無にかかわらずパスワードを回復できます(一部の企業で使用されますが、社内で開発/インストールされたシステム-追加のセキュリティメカニズム)
- 自分との統合は可能ですが、コストが高くなるため避けられます。
電子メールの転送の多くは安全です。デフォルトでTLSを使用しない主要なメールサービスプロバイダーはありますか? IIRC、GoogleはGmailへの暗号化されていないIMAPアクセスを許可していません。
最近、Yahoo.comでパスワードをリセットしました。ここに、YahooのネットワークからGoogleにメッセージが送信されたヘッダーがあります。
Received: from n2.bullet.mail.ne1.yahoo.com (n2.bullet.mail.ne1.yahoo.com. [98.138.229.123])
by mx.google.com with ESMTPS id pp10si18879814igb.52.2013.01.23.13.07.56
(version=TLSv1 cipher=RC4-SHA bits=128/128);
これは128ビットの暗号化を使用しました。その下では、送信者はDKIMによって認証されました。 GmailはデフォルトでHTTPSに設定されているため、ブラウザに転送されるすべてのポイントで、このメールは暗号化され、送信者は認証されました。これは実際には、パスワードをリセットするためのかなり安全なプロトコルであり、すべて考慮されています。電子メールは必須セキュリティではありませんが、本質的に安全ではないと言って少し時代遅れです。
多くの場合、適切な代替手段がないため、パスワードのリセットプロセスの一部として電子メールを使用します。ただし、電子メールを使用するすべてのパスワードリセット手順は同じではありません。いくつかは間違いなく他よりも優れています。他の形式の通信がより一般的になると、パスワードのリセット手順がこれらの新しいテクノロジーを使用する方向に移行するのがわかります(たとえば、現在使用しているシステムの多くがSMS。
電子メールのリセットが安全でない理由の一部は、パスワード自体が本質的に安全でないためです。 2要素認証などで標準パスワードを補強すると、問題のリソースにアクセスするために必要な情報の一部しか電子メールに含まれないため、電子メールベースのパスワードのリセットに関連するリスクを軽減できます。
パスワードのリセットに使用される電子メールのセキュリティ面を評価する際に考慮すべきもう1つのポイントは、利便性に対する影響です。食料品の買い物リストを追跡するために使用するそのWebサイトが、安全でない電子メールベースのパスワードリセット手順を使用しているかどうかは本当に問題ではありませんが、私の銀行がそうであるかどうかは問題ありません(そうです、サイトごとに異なるパスワードを持っています)。
もちろん、電子メールベースのパスワードリセットシステムには、良い点と悪い点があります。実際に新しいパスワードを送信するものは、特別なリセットリンクを送信するものよりも安全性が低くなります。 1回限りのリンクで、限られた時間だけ有効なリンクは、永久に持続するリンクや複数回使用できるリンクよりも優れています。ランダムで予測できないものは、簡単に取得できる情報に基づいて導出できるものよりも優れています。
まず最初に、基本的なリスク評価を行います。パスワードリセットメカニズムが侵害される可能性と、そのような侵害が及ぼす影響を確認します。結果が許容できる場合、プロセスはOKです。そうでない場合、満足のいく妥協点が満たされるまで、プロセスを変更する必要があります。ただし、これらの妥協案はより低いレベルの利便性に反映される可能性が高いため、悪用されるプロセスの潜在的/可能性と、そのような悪用による影響の両方を実際に評価する必要があります。どちらかを過大に見積もると、過度に設計された不便なソリューションになってしまう可能性があります。概算ではなく、プロセスは十分なセキュリティを提供するために十分に設計されていません-それは非常に便利で使いやすいでしょうが、ユーザーを危険にさらしすぎます。
結論として、電子メールは安全ではありませんが、適切に実装されている場合、電子メールベースのパスワードリセットプロセスは、安全性と便利さのバランスが取れている可能性があります。使用するサービスの電子メールベースのパスワードリセット機能では不十分だと思われる場合は、サービスを使用しないでください。