web-dev-qa-db-ja.com

他の誰かが私のアカウントへのアクセスを試みた後、私のプロバイダーが私のパスワードをリセットしたのはなぜですか?

最近SIP=トランキングサービス)のプロバイダーから、奇妙なメールが送られてきました。別の国の誰かが私のアカウントのパスワードをリセットしようとしたため、セキュリティの質問に答えられなかったとのことです。

このイベントに対するプロバイダーの応答は、パスワードをリセットすることでした。

お客様各位、

アカウント「myusername」のパスワードをIPアドレス41.174.96.79からリセットするリクエストを受け取りましたが、入力された秘密の質問は無効でした。

セキュリティ対策として、アカウントのパスワードを次のように設定しました:roRy1391

ログインすると、すぐにパスワードを変更するように求められます。

(メールは本物であることがわかり、ログインしてパスワードを正常に変更することができました。)

そのようなイベントへの適切な対応は、プロバイダーが何もしないことであるように私には思えます。結局のところ、この攻撃者が既に私の電子メールアカウントへのアクセス権を取得している場合はどうなりますか?それから彼はこの電子メールを受け取り、とにかく私のアカウントへのアクセスを得たでしょう。

ただし、問題を緩和する要素がある可能性があります。このプロバイダーは、新しいIPアドレスからログインするときは常にセキュリティの質問に答える必要があります。理論的には、攻撃者がこのパスワードリセットメールへのアクセス権を取得していれば、これもこの攻撃を阻止することになります。

これはプロバイダー側​​の適切なアクションでしたか?そうでなければ、彼らは代わりに何をすべきでしたか、そして私が彼らに怒鳴ったとき私は何を言うべきですか?

36
Michael Hampton

これは絶対的なセキュリティ違反です。彼らのポリシーがどういうわけか健全であったとしても、パスワードをplaintextでメールで送信することはリセットが役に立たないことを意味し、攻撃者がメールにアクセスできる場合、セキュリティの質問はセキュリティ上の質問にはなりませんtしゃがむ。

答えられたセキュリティの質問は無効だったので、彼らは何もしなかったはずです。最善の方法は、私見ですが、さらに一歩進んで、定義された期間、ユーザーが質問に答えないようにすることです。通知は適切な手順ですが、パスワードを変更すると、パスワードが役に立たなくなります。

私に簡単な質問をします。「私(または私のメールにアクセスできるふりをした人)にパスワードを送信する場合、私/他の誰かがセキュリティの質問を間違っていると思った場合、セキュリティの質問のポイントは何ですか。 ?」

56
Nathan C

いいえ、ISPからの適切な応答ではありません。攻撃者はパスワードをリセットしようとしました。これは、攻撃者が現在のパスワード知らないであることを示しており、実際にはそれを推測することすらしていません。そのパスワードを強制的にリセットしても、効果はありません。認証システムの壊れていない部分を正確に修正しようとします。

ただし、パスワードをリセットしても効果がない場合は、多くの害をもたらす可能性があります。電子メールでプレーンテキストとしてパスワードを使用することは、めったにありません。

この状況は、「ひどいセキュリティスタンス」の良い例のように見えます。

(あなたのISPは本当に「Rory」で始まるパスワードを選びましたか?これは私の「ばかげた遊び」の感覚を引き起こします。)

18
Thomas Pornin

このようにパスワードを変更してセキュリティを確保できる唯一のケースは、ユーザーがパスワードを変更しようとしたときにアカウントにログインしていた場合です。

その場合、ログインしたユーザーは誰でもそのパスワードを知っていて、セキュリティの質問への回答を知らなかったため、以前のパスワードが侵害された可能性があります。

4
Briguy37

これは良い習慣ではありません。 SIPプロバイダーが実際に危険にさらされていたのに少し疑わしいかもしれませんが、顔を救いたい、または明確で正直ではない、または少し曖昧であることによって、元の宣伝の可能性を減らしたかったです。基本的に、失敗した試行の後にパスワードを変更してもまったく意味がありません。新しいパスワードをメールで送信することで、さらに少なくなります。これにより、新しいSIP rpviderを探すことになります私。

2
Tim X