私の会社は、アクセスの保護が重要なオンラインHRおよびPayrollアプリケーションを開発しています。「パスワードを忘れた場合」ページを除いて、ほとんどの認証/承認プロセスをロックダウンする方法を明確にしています。
私の当初の計画は、ユーザーに電子メールアドレスと、以前に選択/入力したチャレンジ質問への回答の両方を入力するように要求することでした。一時的なパスワードは、リストされた電子メールにメールで送信されます(電子メールが有効であると想定)。しかし、私はこことここ(両方ともSO)で、チャレンジ/レスポンスアプローチは安全ではないことを読みました。
ただし、一時パスワードのみを電子メールで送信している場合、それは本当に安全ではありませんか?私が考えることができる唯一のより安全なオプションは、ユーザーにカスタマーサービス担当者に電話するように要求することです。これは、従業員に大きな負担をかけます。
私は何が欠けています...より良いアプローチはありますか?ありがとう!
一時パスワードを電子メールで送信しないでください。パスワードリセットページへのURL+トークンをユーザーに電子メールで送信してください。そうすれば、パスワードが暗号化されずに変更されることはありません。また、エンドユーザーがそのページにアクセスしようとして、リセットトークンがすでに使用されている場合、アカウントが侵害されていることもすぐにわかります。
コメントから追加:
チャレンジレスポンス(「秘密の質問」)の側面は、一般的にターゲットに関する公開情報を調査することで発見できるものであるため、実際には安全性が低下すると思います。合計のステップが少なければ少ないほど、誰も知らないうちに壊れる可能性のあるステップは少なくなります。リセットされた電子メールを早期に送信し、多くの場合、試行が行われていることを人間に知らせる良い方法です。
この記事で説明されているように、ペイリン知事の電子メール アカウントは最近、以前に寄せられた質問への回答を使用してハッキングされました。記事から:
投稿で詳しく説明されているように、Palin のハックには実際のスキルは必要ありませんでした。代わりに、ハッカーはペイリンの生年月日、郵便番号、配偶者と出会った場所に関する情報を使用してペイリンのパスワードをリセットするだけでした。
SOのようにパスワード管理全体をアウトソーシングし、OpenIdなどを使用するのは簡単/実現可能ではないでしょうか。もちろん、これは別の依存関係を追加しますが、パスワードを保存(および保護)して、説明したようにそれらを処理する必要性と引き換えになります。
要するに、挑戦的な質問は多くの場合、最も弱いリンクです。パスワードよりも推測しやすく、効果的にパスワードのプロキシとして機能するため、実際には破るのが簡単な別の攻撃ベクトルを提供することで、セキュリティを強化するのではなく、セキュリティを実際に低下させます. Web Application Hacker's Handbookには、この分野に関する優れた情報がいくつかあります。
オンラインの人事および給与計算アプリケーションだとおっしゃいました。ユーザーが自分のパスワードを忘れたことを示し、身元を確認してからパスワードのリセットを発行できる人事担当者または組織内の役人にメッセージを生成するオプションはありますか?