Domanda:
L'IT fornirà la password solo per telefono, ma è davvero più sicuro dell'email?
Chris Cirefice
2018-08-16 22:39:21 UTC
view on stackexchange narkive permalink

Ogni anno viene eseguita una reimpostazione automatica della password su un account VPN che utilizzo per connettermi ai server dell'istituto. Gli account / le password VPN sono gestiti dal reparto IT dell'istituto, quindi devo inviare un'e-mail ogni anno per contattare il controller dell'account per ottenere la nuova password. Questo finisce sempre con una telefonata , perché la loro politica è di non inviare password tramite posta elettronica.

Ho una vaga comprensione del motivo per cui inviare password tramite posta elettronica è un male, ma onestamente lo non capisco perché dire a qualcuno una password tramite un telefono sarebbe meglio. Supponendo che io abbia lo 0% di possibilità di modificare la loro politica (non ho davvero alcuna possibilità), perché dire a qualcuno una password tramite una telefonata sarebbe più sicuro dell'email?

Io Sono principalmente concentrato sulla capacità di intercettare il telefono / la posta elettronica da una terza parte , ma @Andrew ha sollevato una buona osservazione sulla permanenza dell'email.

Ci sono alcune ottime informazioni in questa domanda / risposta, ma questa domanda riguarda il modo più sicuro di inviare le informazioni di accesso, mentre chiedo specificamente informazioni sulla sicurezza della telefonata e della posta elettronica.

Una telefonata di solito non viene registrata per una cronologia indefinita, mentre un'e-mail di solito non viene eliminata.La sicurezza del trasporto di entrambi dipende da molte cose (telefono: era una linea fissa, 2G / 3G / 4G, VoIP; e-mail: SMTP usa TLS, il client usa TLS, ecc.)
@dandavis Solo perché la tua connessione a Gmail o qualsiasi altra cosa sia sicura non significa che il messaggio verrà crittografato fino alla destinazione.https://superuser.com/questions/260002/why-are-email-transfers-between-mail-servers-often-not-encrypted
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/81926/discussion-on-question-by-chris-cirefice-it-will-only-give-password-over-phone).
Se solo ci fosse un canale sicuro ... come la VPN già esistente
Un paio di punti chiave da ricordare quando si parla di password più sicure è che se l'utente finale ha il telefono in vivavoce, ripete la password o la scrive in modo che la ricordino, la sicurezza extra da non passare attraverso la posta elettronica può essere persa soprattuttose è una password non sono obbligati a cambiare o non possono cambiare.Un altro punto chiave è che non tutti possono usare il telefono come non udenti, non udenti e persone che hanno perso la voce per qualche motivo, il che significa che sono necessari altri mezzi per fornire una password all'utente.
In realtà avere qualcuno al telefono che ti dà la password è già una persona di troppo che conosce questa password ... Ed è un'indicazione che questa reimpostazione della password è gestita in modo tale che da qualche parte c'è un elenco di tutte queste password in chiaro (o qualsiasi altra crittografia a 2 vie).Sono sorpreso che affrontino una tale seccatura quando l'intero processo ha già dall'inizio alcuni difetti di sicurezza che trovo più preoccupanti.E non sono un esperto di sicurezza ...
Un motivo aggiuntivo potrebbe essere la verifica se c'è ancora una persona reale che utilizza l'account.Un modello di minaccia potrebbe essere un dirottamento dell'account, in cui l'utente originale non utilizza nemmeno più l'account.- In questo caso, l'aggressore dovrebbe simulare una conversazione personale completa, che è molto più difficile per una botnet o un madrelingua che potrebbe aver compromesso l'account.
Un aspetto cruciale della 2FA è che i fattori devono essere flussi di consegna totalmente indipendenti.Quindi un'autenticazione 2FA che è una password più una smart card, o una password più uno scambio di chiavi, non è realmente efficace.Tutti e tre sono ottimi metodi di autenticazione, ma combinarli non impone due fattori.Una telefonata farebbe questo (supponendo che tu non risponda al tuo telefono tramite un'app desktop) così come il vantaggio aggiuntivo menzionato da Andrew Greer di non lasciare alcuna registrazione dell'audio della telefonata.
Dodici risposte:
Andrew Greer
2018-08-16 22:42:32 UTC
view on stackexchange narkive permalink

Le e-mail vengono salvate da qualche parte, sia su un server di posta che sul personal computer di qualcuno. Le telefonate di solito non lo sono, a meno che non si tratti di un ambiente rivolto al cliente.

Anche questo è stato il mio primo pensiero.Un'altra cosa su cui potresti approfondire è la sicurezza del trasporto di entrambi i metodi.(Vedi anche il mio commento sulla domanda.)
@Luc Questo è ciò su cui ero effettivamente concentrato inizialmente, ma Andrew sottolinea bene la persistenza di tutto ciò.Inizialmente stavo pensando a come un'e-mail o una telefonata potrebbero essere intercettate da una terza parte.
@ChrisCirefice - Sebbene certamente i telefoni possano essere intercettati, è molto meno probabile che i sistemi informatici vengano compromessi.Soprattutto se è coinvolta una linea fissa (... anche se di questi tempi non è probabile che abbia una linea fissa, ma molte aziende potrebbero ancora utilizzarla).
Facile leggere un'e-mail a tracolla, non così facile per una telefonata.
Per una questione di politica, la mia azienda registra * tutte * le telefonate, in entrata e in uscita.I record vengono salvati sul cloud dietro le credenziali e, se un amministratore o l'utente che ha effettuato la chiamata lo desidera, può scaricare la registrazione e inviarla tramite posta elettronica.Anche se non è un evento comune, succede.
Le telefonate interne dell'azienda potrebbero non essere registrate.Tuttavia, alcuni paesi ordinano apparecchiature telefoniche con un'enorme capacità di archiviazione.
@JM-AGMS Anche in questo caso, è più difficile scansionare un intero repository audio per una password rispetto a un repository di testo.Anche se ... immagino che potresti passare un processo audio-testo all'intera cosa e poi cercare parole simili a "password"
A meno che tu non sia distratto con la tua password PGP, nessun altro dovrebbe essere in grado di decrittografare l'email nel prossimo futuro, quindi perché l'archiviazione è un problema?
O un tla che origlia
È illegale registrare le telefonate.Questo è stato sui libri di legge da poco dopo che c'erano i telefoni.In alcuni stati richiede il consenso di tutte le parti.In altri stati 1 parte, ma ciò significa che il sistema non può registrare tutte le chiamate con il consenso di 0 parti.Se si tratta di una chiamata interstatale, * si applica la legge più restrittiva *.
@Harper Questi sono solo gli Stati Uniti.Nel Regno Unito è comune che le telefonate vengano registrate con un semplice preavviso, anziché con il consenso.
@Harper: Inoltre, quando si utilizza un telefono aziendale, è spesso considerato un affare aziendale e l'azienda _è_ informata.
@Harper Sicuramente hai chiamato un'azienda e le hai fatto avvisare che "questa chiamata può essere monitorata / registrata per scopi di garanzia della qualità" prima?Certamente non è illegale per loro registrare quelle chiamate.
*Esattamente*.Hanno bisogno che te ne accorgano, e se scegli di rimanere in linea comunque, questo è il consenso.Non possono semplicemente dire "la la la, siamo l'azienda e possediamo il centralino e diamo il consenso".La posta elettronica può funzionare in questo modo, ma le leggi sulle intercettazioni sono un po 'più vecchie e sono state scritte quando le aziende non erano persone.
Un altro aspetto importante è che il nome utente e la password passino attraverso canali diversi: il reparto IT ** farà ** di tanto in tanto errori di battitura, ma a condizione che entrambi gli indirizzi di posta elettronica digitati non appartengano alla stessa persona delnumero di telefono digitato (deve essere l'IT che avvia la chiamata al numero elencato nell'elenco ufficiale), le credenziali complete non verranno mai fuoriuscite.
-1
Per qualsiasi azienda che ha a che fare con l'Europa, il GDPR è un motivo molto migliore (e mi piacerebbe pubblicare questo come risposta).Con l'invio di un'e-mail, l'azienda deve rispettare la legge sulla conservazione di questi dati.Questo ha un numero significativo di mal di testa ad esso associati.Tenere traccia delle e-mail è un luogo comune. Se l'azienda NON registra la telefonata, non rientra nel GDPR;e come tale è necessaria molta meno cura.
Ben
2018-08-17 13:11:30 UTC
view on stackexchange narkive permalink

Questa norma è comune quando i nomi utente e le password vengono inviati tramite canali separati.

Non importa quali canali purché le coppie di autenticazione siano separate e inviate tramite metodi diversi.

Questa è la best practice accettata perché intercettare i due canali giusti è molto più difficile che guardare un canale per far passare semplicemente la coppia di autenticazione.

Il ragionamento alla base di questo è che le modifiche alla password non sono solo quando si dimentica una password ma si sospetta che un account sia stato compromesso. Per questo motivo le modifiche della password vengono eseguite "fuori banda" per garantire che gli aggiornamenti della password non vengano acquisiti facilmente.

Nel mondo della sicurezza IT a volte non si tratta di essere perfettamente protetti. È accettabile essere abbastanza duro da far provare agli aggressori da qualche altra parte.

+1 In aggiunta a questo: se è più facile per un utente malintenzionato sconfiggere il meccanismo di reimpostazione della password piuttosto che indovinare / phishing la tua password, allora il tuo sito non è realmente protetto da password, vero?
D'accordo (e votato a favore!): La risposta è "canali separati" :) Farei il pelo nell'ultimo paragrafo, però, in quanto non è tanto che la gente "proverà da qualche altra parte", quanto quella "difesa in profondità" ètutto sulla sicurezza a più livelli, nessuno dei quali può essere una difesa completa contro tutti i possibili attacchi.
Mike Ounsworth
2018-08-16 22:49:52 UTC
view on stackexchange narkive permalink

Le e-mail possono (anche se come sottolinea @Luc, non sempre) essere inviate in chiaro su Internet. Ciò significa che possono essere registrati dal tuo provider di posta elettronica, dal tuo ISP, dall'ISP del destinatario, dal provider di posta elettronica del destinatario o da qualsiasi apparecchiatura di rete intermedia. In qualità di mittente, non hai nemmeno il controllo su chi guarda alle spalle della persona mentre apre l'email.

Con una telefonata, hai più controllo sulla verifica di parlare con il corretto persona, possono rifiutarsi di rispondere se si trovano in un luogo pubblico, ecc. Inoltre, sebbene non ci siano garanzie che non venga registrato, almeno ci sono buone possibilità - a differenza dell'email che ha il 100% di possibilità di essere in alcuni database da qualche parte.

Tuttavia, gran parte del VoIP viene trasportato non crittografato su LAN e Internet.E sul lato TDM della rete telefonica, non c'è crittografia o autenticazione di sorta.
@user71659 Abbastanza giusto.Non ho esperienza in telefonia.Con i registri di testo dai server di posta elettronica, ecc., È semplicissimo ctrl + f per le password.Supponendo una rete telefonica non crittografata e / o pacchetti VoiP, è altrettanto facile estrarre la password?
Nota che stiamo parlando di un'azienda qui.Presumibilmente la posta elettronica interna non lascerà mai i loro locali.Quindi sì, faccio notare che non è sempre inviato in chiaro, ma per completezza, in questo particolare scenario è effettivamente * probabile * che venga inviato in modo sicuro.Le telefonate, d'altra parte, quasi sempre lasciano i locali poiché le persone di solito chiamano solo tramite telefoni cellulari in questi giorni (di nuovo, il caso è diverso per VoIP interno o DECT, o nel caso di CCC: GSM)
@MikeOunsworth È sicuramente più difficile gestire le registrazioni vocali (pagare qualcuno per trascriverle su Mechanical Turk è un'idea).Tuttavia, se tutti si ripristinano nello stesso periodo dell'anno, è possibile, ad esempio, filtrare il SIP e registrare i flussi per brevi chiamate all'helpdesk IT.
@Luc Se si presume che le e-mail interne non escano dai locali, non lo farebbe nemmeno una chiamata interna al PBX.Il desk IT può fare qualcosa come chiamarti solo alla tua scrivania come elencato nella directory aziendale.
@user71659 Oggigiorno le persone di solito non usano i telefoni cellulari invece dei telefoni fissi?Potrei sbagliarmi, non ho fatto un sondaggio tra migliaia di aziende in tutto il mondo, ma in base alla mia esperienza di solito ottieni uno smartphone con un numero regolare su una rete nazionale, e questo è il tuo numero di telefono principale che l'azienda deve raggiungeretu.
@Luc Non negli Stati Uniti.La mia opinione è che un telefono fisso è più comodo da usare, ha un'acustica migliore, non usa una compressione vocale pesante, non ha interruzioni.È un'esperienza molto più professionale.Hai anche problemi quando qualcuno deve chiamare i servizi di emergenza e con copertura, come un ufficio in uno scantinato.Anche gli Stati Uniti, fino a pochi anni fa, avevano problemi fiscali a cancellare i telefoni cellulari.
@Luc Un po 'di cattura-22 lì: quando reimposti la tua password VPN ottieni quella nuova tramite e-mail, che non lascia mai la rete aziendale, a cui devi accedere tramite VPN per accedere.Sembra che l'OP invii e-mail all'IT dall'esterno della VPN e desideri che la password venga restituita in questo modo.
@Luc Per quanto riguarda i telefoni cellulari, la mia azienda utilizza anche telefoni / software da scrivania VoiP dove presumo che il traffico per le chiamate interne rimanga interno alla rete aziendale o almeno alla rete del provider VoiP.
@user71659 Un utente malintenzionato VoIP deve avere una presenza prestabilita per eseguire il proxy della sessione, avere accesso per eseguire il dump di un'interfaccia di rete intermedia o è bloccato nel tentativo di falsificare una parte e forzare una rinegoziazione della sessione dal vivo.Devi avere una presenza abbastanza significativa o molto tempo per prepararti a farlo.Non è certamente impossibile, ma lo definirei un attacco molto più sofisticato e sicuramente molto più difficile da fare senza lasciare prove.
@IronGremlin E quali sono le differenze rispetto all'intercettazione della posta elettronica in transito?È tutto traffico IP.
@user71659 Perché è una seccatura instradare una chiamata VoIP su un proxy anche se lo stai facendo come un proxy legittimo e autorizzato di cui entrambi gli endpoint sono a conoscenza.
@IronGremlin Non lo capisco.Gli SBC sono standard in qualsiasi architettura quando si lascia l'azienda.Se hai TDM, hai un gateway multimediale.Asterisk è un B2BUA.Se effettuo una chiamata in conferenza su Cisco CallManager, inserisce automaticamente un ponte di conferenza in modo trasparente.Quando il mio softphone è fuori dalla nostra LAN, esegue automaticamente il tunneling attraverso Cisco Expressway.Quando chiamo dal mio telefono VoLTE, imposta un tunnel IPSEC al P-CSCF.Quando premo il telefono in attesa, un re-invito SIP fondamentalmente imposta una nuova chiamata con il flusso musicale di attesa ...
@Luc la tua supposizione che le e-mail non lasciano i locali purtroppo non è più vera (anche supponendo che l'utente non le scarichi da fuori sede).Qui il nostro sistema di posta elettronica è gestito dai server Microsoft;all'ultimo posto era Google.
@ChrisH Questo è incluso in "Non lasciare i locali": se ti fidi di loro con tutte le tue email in primo luogo, allora non farà differenza che anche loro facciano il transito interno delle email.
Per i casi non VoIP, a meno che non si utilizzi un hardware speciale, l'audio viene quasi sempre inviato in chiaro;potresti indicare ad es.telefoni cellulari e dicono che c'è la crittografia, il che è vero, ma copre solo la parte radio della chiamata.Sulla rete telefonica stessa, non è crittografato e può essere facilmente intercettato da chiunque abbia accesso alla rete.Inoltre, nel caso della "posta elettronica non crittografata su Internet potrebbe essere registrata", sebbene tecnicamente vero, il fatto che la rete sia a commutazione di pacchetto significa che spesso è pratico solo per quelle parti la cui apparecchiatura è * necessariamente * nel percorso dei dati.
@alastair concordato.Non credo che nessuno qui stia sostenendo che sia impossibile origliare la telefonia, o che sia sempre possibile intercettare la posta elettronica;solo che _in generale_ è più facile mettere le mani ed estrarre le password dai dati di testo delle email rispetto ai dati vocali.
Decisamente più facile estrarre i dati di testo piuttosto che i dati vocali (sebbene la conversione della voce in testo non sia oltre l'arguzia dell'uomo).Quanto al metterci le mani sopra, dipende molto dalla situazione;in particolare, se uno qualsiasi degli approcci tradizionali a bassa tecnologia è un'opzione, allora è davvero molto facile rispetto a qualsiasi tipo di situazione richiesta da hacking / accesso alla rete.Tendo a pensare che la sicurezza della telefonia sia sopravvalutata e quella dell'email sottovalutata perché molti di noi si concentrano troppo sul lato digitale delle cose e dimenticano le cose antiquate.
AMADANON Inc.
2018-08-17 12:24:19 UTC
view on stackexchange narkive permalink

Anche se vengono registrate sia l'email che la conversazione telefonica, è più facile cercare una "password" in un database di posta elettronica piuttosto che cercare registrazioni vocali.

Tuttavia, le migliori pratiche dicono che una e solo una persona dovrebbe conoscere la password di un account, ovvero la persona che possiede l'account. L'amministratore non dovrebbe saperlo, né il server (cioè la password con hash).

Il modo normale per farlo sarebbe: se la password è scaduta di recente (per un dato valore di recente), l'utente possono utilizzare la vecchia password, ma subito dopo essersi autenticati (prima di effettuare il login) sono costretti a cambiare la propria password, quindi si disconnettono immediatamente. Se la password è scaduta da tempo, l'amministratore può contrassegnare la password scaduta come "scaduta di recente" per un breve periodo di tempo (ad esempio 10 minuti). L'amministratore non ha bisogno di sapere qual è questa password. Se l'utente ha dimenticato la password, l'amministratore può immettere una password di breve durata (es. 10 minuti) che impone anche il cambio immediato della password.

Inoltre, se un utente ha cambiato la propria password nell'ultimo anno , dovrebbero essere esentati dalla modifica (fino a esattamente 1 anno dopo la loro ultima modifica).

Anche la teoria secondo cui una password dovrebbe essere cambiata una volta all'anno è estremamente dubbia, nella maggior parte dei casi, se una password è compromesso, di solito viene sfruttato immediatamente al massimo. Solo dare a un utente malintenzionato "solo" 6 mesi di accesso (in media) sembra abbastanza inutile (o "solo" 6 giorni per quella materia). Ciò suggerisce l'autenticazione a 2 fattori, con il secondo fattore ogni volta unico (Google Authenticator, OTP, OPIE, challenge-response ecc.), Se vale la pena proteggere la risorsa.

Un amministratore non dovrebbe conoscere la password di un utente, se può essere evitata. Se necessario, dovrebbero avere la possibilità di diventare un altro utente con la propria password, che viene quindi scritta in un registro di controllo. Ciò è particolarmente importante se ci sono diversi livelli di "amministratore" (cioè se ci sono persone che possono cambiare le password, ma non influenzare il registro di controllo).

Oscuramenti minori (come sicurezza tramite audio, immagine ecc. ), sono pericolosi, perché favoriscono l'autocompiacimento senza sicurezza.

Sì, anche se sarebbe abbastanza facile aggiungere un ostacolo qui inviando solo un file immagine con il nome `kitten.gif` che in realtà contiene uno“ screenshot ”del testo` nuova password: pwd1234`.Un aggressore determinato sarà in grado di decifrarlo proprio come una registrazione telefonica, ma non semplicemente con "grep".Entrambi i metodi sono solo sicurezza attraverso l'oscurità.
Scott McMahan
2018-08-18 12:44:58 UTC
view on stackexchange narkive permalink

In un sistema sicuro, le password fornite dall'IT dovrebbero essere solo temporanee, utilizzabili solo una volta, stringhe casuali, quindi l'utente deve digitarle immediatamente e cambiarle con la propria nuova password segreta. L'IT non dovrebbe mai conoscere o trasmettere la password "reale" di un utente.

Gli utenti devono essere controllati prima del ripristino e questo è molto più facile da fare tramite chiamata vocale, fare una domanda, ottenere una risposta, fatto.

Anche se la temp. la password viene ascoltata durante una chiamata, non ci sarebbe tempo per utilizzarla. Le email, tuttavia, a volte vengono trascurate per un po 'di tempo prima di essere lette, dando a un utente malintenzionato la possibilità di fare del suo peggio.

Inoltre, una chiamata vocale registrata può essere utilizzata per identificare se un utente è stato impersonato in seguito, mentre non puoi dire chi ha guardato una schermata di posta elettronica aperta o un server di posta remoto.

I miei 10 anni di esperienza sono in un ambiente di istituto finanziario, quindi questo livello di sicurezza potrebbe non essere giustificato economicamente se le esigenze di sicurezza sono meno rigorose. Il pagamento per gli enti IT è costoso e la maggior parte dei sistemi / app andrà comunque alla sicurezza basata sul Web, quindi i giorni di reimpostazione vocale della password IT sono comunque numerati.

Sono d'accordo con la tua risposta, ma purtroppo non esiste una gestione delle password da parte dell'utente finale in questo sistema VPN.Quindi l'IT imposta la password e la modifica ogni anno.Non è affatto un sistema sicuro, poiché l'IT conosce tutte le password degli utenti.Peggio ancora, la password non era ad alta entropia (8 caratteri e 2 numeri, nessun simbolo).
ETL
2018-08-17 02:27:06 UTC
view on stackexchange narkive permalink

La sicurezza di un'e-mail è difficile da stabilire. L'email è molto probabilmente conservata negli archivi (ci sono anche alcune normative per alcune aziende). Quindi inviare una password in un'e-mail è una cattiva idea da questo punto di vista. Potrebbe verificarsi anche l'intercettazione delle email.

Il telefono, d'altra parte, ha meno probabilità di essere registrato, ma potrebbe esistere l'intercettazione o la registrazione del telefono. Quindi non è un'idea così grande. Ho letto un commento secondo cui la linea di terra è più difficile da intercettare rispetto ai sistemi informatici - non sarei d'accordo. Collegare una linea telefonica tradizionale è molto più semplice che hackerare un server remoto. I telefoni VOIP richiedono una nuova tecnica ma non così difficile: collega un hub, collega il tuo PC a una porta dell'hub e ora hai una copia di tutti i pacchetti e il software di decodifica VOIP abbondano. Probabilmente è più difficile intercettare il segnale di un telefono cellulare, ma non lo so, non l'ho fatto.

Uno dei vantaggi (forse percepiti) dell'utilizzo del telefono tramite e-mail è la certezza che stai dando la password alla persona a cui vuoi dare la password. Essendo io stesso un amministratore di sistema, che deve reimpostare le password, questo è qualcosa che posso attestare. Se invii un'e-mail, non sai davvero chi c'è dall'altra parte. Potrebbe essere un'e-mail contraffatta, un account dirottato, ecc. Se conosci la persona, puoi riconoscere la voce della persona. Puoi fare alcune domande per verificare l'autenticità (potresti farlo anche tramite e-mail, ma c'è una sensazione di sicurezza quando lo fai per telefono).

Ora, avere un amministratore che imposta una password che rimane la password e non lasciare che l'utente imposti la propria password è davvero una cattiva pratica secondo me a causa di questi fattori ora la password deve essere trasmessa e qualunque cosa venga trasmessa sarà la password per sempre.

Joe M
2018-08-16 23:08:35 UTC
view on stackexchange narkive permalink

C'è di più nella politica? In molte organizzazioni forniranno una nuova password per telefono, ma devono conoscere la voce delle persone e rispondere a una domanda (chi è il tuo capo, quando è stata la tua ultima revisione).

È in qualche modo simile a un processo di autenticazione a più fattori.

Sufferer
2018-08-17 02:52:40 UTC
view on stackexchange narkive permalink

La logica che utilizzo quando insisto sull'uso del telefono o del testo per inviare la password è il fatto che si tratta di un secondo canale.

Anche con tutte le insicurezze descritte sopra dell'email, se l'email è stata inviata con solo la password in esso, non ci sono informazioni sufficienti per un uso dannoso. Tuttavia, se intercetti un'e-mail che ha un significato simile a "La tua password per l'account xxx sul servizio yyy è stata modificata in zzz", hai tutto il necessario per accedere all'account.

Presumi che l'email provenga da un indirizzo di un dominio diverso.Se un utente malintenzionato riceve un'e-mail con una password da "noreply@example.com" a "alice@gmail.com", la prima cosa che proverebbe è accedere a example.com con il nome utente "alice" e la password dall'e-mail.
Cort Ammon
2018-08-20 06:56:00 UTC
view on stackexchange narkive permalink

Al momento è molto più facile intercettare un'e-mail. Questo può cambiare in futuro, ma per ora:

  • Le email sono progettate per essere archiviate per periodi di tempo arbitrariamente lunghi. Puoi aspettarti che almeno uno, se non diversi server, salvi tutti i dati.
  • Le email sono più facili da elaborare. Identificare le email contenenti password è relativamente facile. Identificarli nelle telefonate è più difficile. Se un avversario sta ascoltando, sarà ovviamente banale acquisire la password. Tuttavia, l'ascolto richiede più risorse.
    • Ad un certo punto, l'intelligenza artificiale renderà tutto più semplice. Ma al momento non sembra essere così.

Dipende davvero dal tuo modello di minaccia. Quanto è preziosa questa password? Presumo che le credenziali bancarie di un miliardario sarebbero protette meglio di questa, o informazioni riservate, ma più piccola è, più le risorse investite per ottenere le informazioni iniziano a essere importanti.

Non è più facile intercettare un'e-mail.È molto più facile intercettare una telefonata su una linea analogica piuttosto che entrare nel percorso dei dati di una transazione e-mail e, inoltre, i server di posta elettronica utilizzano spesso la crittografia durante il trasferimento dei messaggi.
@alastair È vero anche quando non si sa quale particolare e-mail o telefonata era importante?A prima vista, sembra più facile acquisire ed elaborare un milione di e-mail che non per acquisire ed elaborare un centinaio di telefonate.Per lo meno agiamo davvero nell'illusione che ciò che dico sia vero.Negli Stati Uniti la riservatezza tra avvocato e cliente è tutelata legalmente se hai compiuto sforzi sufficienti per proteggere la comunicazione.È considerato "sufficientemente protetto" per una telefonata di rete fissa, ma le e-mail non lo sono.
Elaborare le telefonate è sicuramente più difficile, ma penso che catturare le chiamate sia più facile.Penso che se ti concentri sul lato del computer / rete di dati potrebbe non sembrare così, ma poi hai dimenticato tutti i metodi antiquati di ascoltare le conversazioni telefoniche, che sono generalmente molto più facili dell'hacking degli strumenti di reteper intercettare i pacchetti.Anche l'elaborazione non è catastroficamente difficile (richiede solo riconoscimento vocale o manodopera; anche Mechanical Turk funzionerebbe).
Machavity
2018-08-21 20:17:16 UTC
view on stackexchange narkive permalink

Il problema principale di una telefonata è che le telefonate sono ancora suscettibili agli attacchi di ingegneria sociale, in cui un chiamante può persuadere una persona di fiducia a concedergli l'accesso

Sul telefono, ho selezionato un menu automatico per "ottenere assistenza per l'accesso al mio account". La rappresentante del servizio clienti, Christine, è stata molto gentile e mi ha chiesto la mia email e il mio indirizzo di casa per lavorare con me e ottenere l'accesso al mio account.

Penso che abbiamo trovato il nostro problema ... Christine aveva solo bisogno di questi due informazioni per farmi accedere al mio account? No Password? Nessun telefono cellulare? Nessun'altra informazione? Cosa impedisce a qualcuno di trovare la mia email e il mio indirizzo di casa da un database e chiamare per prendere il controllo del mio account?

Quindi nessuno può fiutare la tua email (potenzialmente non crittografata), ma tutto ciò di cui ho bisogno è numero di telefono e un po 'di informazioni su di te e io potremmo farlo

Ciao, sono Chris Cirefice. Ho perso di nuovo il mio login VPN. Avrei potuto giurare di averlo scritto, puoi darmene uno nuovo? Wow, sarebbe fantastico, fammi prendere carta e penna ...

James Jenkins
2018-08-17 22:29:25 UTC
view on stackexchange narkive permalink

Ci sono molte buone risposte sul motivo per cui inviare Password = -value- in un'e-mail è sbagliato.

MA

Nessuno sta dicendo che se la password è abbastanza semplice da essere facilmente essere comunicato a voce probabilmente non è abbastanza complesso da essere efficace e la parte ricevente probabilmente scriverà su un pezzo di carta ...

Correlati XKCD # 936: password complessa breve, o passphrase del dizionario lunga?

Non c'è niente di sbagliato nello scrivere password su un pezzo di carta.Molte informazioni protette vengono scritte su pezzi di carta.È ciò che fai per assicurarti che solo le persone giuste possano vedere il pezzo di carta che conta.
Dato che la comunicazione di numeri di serie lunghi o numeri di supporto del contratto, lunghi più di 16 caratteri, è abbastanza normale al telefono, non vedo perché comunicare una password di più di 16 caratteri sarebbe più difficile.Sì, scriveranno la password complessa, ma lo faranno comunque se la ricevono via e-mail.
@DougO'Neal Una password dovrebbe contenere anche caratteri speciali, i cui nomi non conoscono la maggior parte delle persone (o almeno io).
Inoltre, nessuno sembra mettere in dubbio l'idea che l'utente non sia autorizzato a cambiare la propria password con qualcosa che solo * loro * conoscono.
@schroeder ha letto di nuovo la domanda.Questa non è una password temporanea, si tratta di una modifica richiesta annuale, con la password fornita dal chiamante.L'OP non ha la possibilità di cambiarlo.
La domanda non dice che gli utenti non possono modificare le proprie password.Ma un commento successivo su un'altra risposta fornisce queste informazioni.Tuttavia, 4 parole casuali sono una complessità più che sufficiente.E le persone sanno cosa sono uno "spazio" e i segni di punteggiatura.Dato che le persone inseriranno la password in un file di configurazione del loro client VPN, sarà comunque "annotata".
bluninja1234
2018-08-20 02:12:07 UTC
view on stackexchange narkive permalink

Le e-mail generalmente non vengono salvate, tuttavia i segnali wireless possono essere violati, così come le intercettazioni telefoniche fisse. il modo migliore per farlo è con un sito web https.

Benvenuto."Le e-mail generalmente non vengono salvate": questa è un'opinione strana per me poiché i server di posta registreranno o memorizzeranno le e-mail per lunghi periodi di tempo (sicuramente più di un anno) e le e-mail esisteranno nella casella "Inviato" del mittente fino a quando specificamenteepurato.Sì, i segnali wireless possono essere violati, ma l'abilità e il tempismo coinvolti sembrano essere un ostacolo significativo.
Le aziende non sono insolitamente * obbligate * a salvare le e-mail.E dalla mia esperienza, lo faranno anche se in realtà non è necessario.
:-) Le email * sono * generalmente salvate, in un modo o nell'altro, a volte a lungo termine.Tuttavia, penso che il nocciolo della questione qui sia che è una buona scommessa che la maggior parte degli aggressori non sarà in grado di compromettere sia la posta elettronica * che * la telefonia, quindi utilizzare due percorsi separati per comunicare nome utente e password è una vittoria per la sicurezza.Questo ancora non proteggerà da tutti gli aggressori;se il tuo avversario è uno stato nazione, potresti voler prendere misure ancora più estreme.
ERA UN TIPO OK
MENO LE PERSONE NON DISPIACE RAGAZZI


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...