Политика блокировки и одноразовые пароли

У меня есть система одноразовых паролей, реализованная для моего веб-сайта с использованием RFC 4226. Этот пароль отправляется в виде SMS на мобильное устройство. Пользователь может получить пароль только на свое мобильное устройство, срок действия пароля истекает через 15 минут.

У пользователей также есть стандартный буквенно-цифровой «мастер-пароль», который обычно используется. Я реализовал рабочий процесс блокировки с 3 отказами. Блокировка длится 15 минут.

Мой вопрос: с точки зрения безопасности допустимо ли блокировать только «мастер-пароль»? Должен ли я разрешить пользователю обойти политику блокировки, если он использует функцию одноразового пароля? Открываю ли я какие-либо дыры в безопасности?


security one-time-password lockout rfc-4226
person Josh    schedule 12.01.2011    source источник

Ответы (2)


arrow_upward
3
arrow_downward

Это не совсем ответ на ваш вопрос, но при создании таких систем вы должны помнить, что удобство использования важнее безопасности каждый раз, когда две головы сталкиваются. Чем сложнее вы сделаете свою политику безопасности для конечных пользователей, тем больше у них будет мотивации придумывать небезопасные обходные пути для выполнения своей работы.

Шнайер сказал это лучше, чем я могу обобщить здесь, я d предложить читать на его материал там.

person jricher    schedule 12.01.2011

arrow_upward
2
arrow_downward

я понимаю вашу точку зрения безопасность против удобства использования, я предлагаю вам реализовать механизм блокировки статический пароль, который стал стандартом де-факто практически для каждого веб-сайта.

здесь объясняется очень хорошо, поэтому мне не нужно ввести снова:

Большинство современных механизмов блокировки паролей являются статическими, что означает, что они блокируют пользователя после определенного количества неправильных попыток ввода пароля. Эта функция реализована для предотвращения попыток грубой силы при входе в систему. Несмотря на то, что эта функция делает то, что должна, у нее есть и свои недостатки. С точки зрения безопасности, злоумышленник может злоупотребить этой функцией, чтобы заблокировать большинство или всех пользователей, написав сценарий со всеми возможными перестановками и комбинациями для имени пользователя (которые в основном представляют собой алфавиты, если не буквенно-цифровые), в результате в отказе в обслуживании.

С точки зрения юзабилити всегда ведутся споры о том, сколько попыток можно разрешить до блокировки учетной записи пользователя. Большинство веб-сайтов разрешают 3 попытки, в то время как некоторые (очень немногие) разрешают 5, а иногда и 7.

Intellipass пытается преодолеть разрыв между безопасностью и удобством использования этой функции. Сохраняя каждую попытку пользователя войти в систему, Intellipass может разумно понять прошлое поведение пользователя и действовать соответствующим образом. Например Если пользователь блокирует себя каждый раз, то Intellipass будет динамически увеличивать количество попыток с 3 до 5 или с 5 до 7. С другой стороны, если пользователь входит в систему первый или второй раз каждый раз, когда он или она пытается войти в систему в прошлом, но по какой-то причине потребовалось 3 попытки на этот раз, Intellipass автоматически уменьшит количество попыток с 7 до 5 или с 5 до 3. Второй компонент Intellipass — это ввод случайной капчи или вставка временной задержки между попытки входа в систему для предотвращения автоматических атак.

person berkay    schedule 12.01.2011
comment
Это то, что у меня есть для моего локаута. В настоящее время пользователь может обойти блокировку, отправив одноразовый пароль на свой телефон и войдя с ним, или выполнив сброс пароля, который отправляет 256-битный зашифрованный URL-адрес на его электронную почту для использования в течение 24 часа на сброс пароля. Мой вопрос заключается в том, является ли хорошей практикой использовать их в качестве обходного пути для блокировки, которая длится 15 минут после 3 неудачных попыток. - person Josh; 13.01.2011
comment
@ Джош, я никогда не видел 15-минутную блокировку. после 3 неудачных попыток входа в систему система просит позвонить и подтвердить свою личность, чтобы получить новый пароль. время истечения срока действия одного пароля обычно составляет 3 минуты. - person berkay; 13.01.2011