我主要关注的是能力以便电话/电子邮件被第三方拦截,但是@Andrew提出了关于电子邮件永久性的要点。
此问答中有一些重要信息,但该问题与最安全的方式发送登录信息,而我特别询问的是电话与电子邮件的安全性。
#1 楼
电子邮件保存在某个地方,无论是在邮件服务器上还是某人的个人计算机上。除非是面向客户的环境,否则通常不会打电话。评论
轻松阅读电子邮件,而不是打个电话。
– Der Kommissar
18年8月16日在20:22
根据政策规定,我公司会记录所有传入和传出的电话。记录将保存在凭据后面的云中,如果管理员或拨打电话的用户想要,他们可以下载记录并通过电子邮件发送。虽然这种情况不常见,但确实会发生。
– JM-AGMS
18年8月16日在20:27
@ JM-AGMS即使在这种情况下,也要比文本存储库更难扫描整个音频存储库以获取密码。虽然...我想您可以将音频转换为文本内容,然后寻找类似于“ password”的词
–xDaizu
18年8月17日在11:31
记录电话是非法的。自从有了电话后不久,这在法律书籍上就一直存在。在某些州,它需要各方的同意。在其他状态下为1方,但这仍然意味着系统无法在0方同意的情况下记录所有呼叫。如果是州际电话,则适用最严格的法律。
–哈珀-恢复莫妮卡
18年8月18日在0:01
@Harper那只是美国。在英国,通常只在通知的情况下记录电话,而不是在未征得同意的情况下进行通话。
–乔恩·本特利
18年8月18日在23:26
#2 楼
在通过单独的通道发送用户名和密码的情况下,通常使用此策略。哪个通道无关紧要,只要将身份验证对分开并通过不同的方法发送即可。
这是公认的最佳实践,因为拦截正确的两个通道比观看一个通道让身份验证对简单地通过要困难得多。
背后的原因是密码更改不只是当您忘记密码但又怀疑帐户已被盗用时。因此,密码更改是“带外”完成的,以确保不容易捕获密码更新。
在IT安全领域中,有时并不意味着绝对安全。足以让攻击者去其他地方尝试是可以接受的。
评论
+1补充:如果攻击者击败密码重置机制比猜测/仿冒您的密码更容易,那么您的网站不是真正受密码保护的吗?
–麦克·恩斯沃思(Mike Ounsworth)
18年8月21日在17:35
同意(并赞成!):答案是“分开的渠道” :)不过,我会略微提一下最后一段,因为人们不会“尝试在其他地方”,因为那不是“深度防御”所有有关分层安全性的信息,其中任何一层都不能完全防御所有可能的攻击。
– Dewi Morgan
18年8月23日在14:19
#3 楼
电子邮件(尽管并非@Luc指出,并非总是如此)可以通过Internet以纯文本格式发送。这意味着它们可能由您的电子邮件提供商,ISP,收件人的ISP,收件人的电子邮件提供商或介于两者之间的任何网络设备记录。作为发件人,您也无法控制谁在打开电子邮件时正看着对方的肩膀。通过电话,您可以更好地控制与对方的交谈。正确的人,如果他们在公共场所等,他们可以拒绝回答。另外,虽然不能保证没有被记录,但至少有很大的机会-不像电子邮件有100%的机会被记录一些地方的数据库。
评论
但是,许多VoIP在LAN和Internet上未加密地传输。在电话网络的TDM端,没有任何加密或身份验证。
–user71659
18年8月16日在18:07
@ user71659足够公平。我没有电话方面的经验。通过电子邮件服务器等的文本日志,使用ctrl + f密码非常容易。假设电话网络和/或VoiP数据包未加密,提取密码是否同样容易?
–麦克·恩斯沃思(Mike Ounsworth)
18年8月16日在18:09
请注意,我们在这里谈论的是一家公司。大概内部电子邮件将永远不会离开其场所。是的,我要指出的是,它并非总是以明文形式发送的,但是出于完整性考虑,在这种特定情况下,它实际上很可能是安全发送的。另一方面,电话几乎总是离开房屋,因为如今人们通常仅通过移动电话进行通话(同样,内部VoIP或DECT的情况有所不同,或者CCC:GSM的情况则不同)
–吕克
18年8月16日在18:23
@Luc不在美国。我的意见是台式电话使用起来更舒适,声音更佳,不使用沉重的语音压缩,没有遗漏。这是一种更加专业的体验。当有人需要拨打911且覆盖范围很广时,例如地下室的办公室,您也会遇到问题。直到几年前,美国还注销了手机的税收问题。
–user71659
18年8月16日在18:29
@ user71659 VoIP攻击者需要具有预先建立的状态才能代理会话,有权转储中间网络接口,或者在试图伪造一方并强制会话重新谈判时陷入困境。为此,您需要拥有相当重要的位置或大量的设置时间。这当然不是不可能,但是我会说这是一种更为复杂的攻击,而且最肯定的是,在不留下证据的情况下很难进行。
–铁葛林
18年8月17日在1:06
#4 楼
即使同时记录了电子邮件和电话交谈,搜索电子邮件数据库中的“密码”也比搜索语音记录要容易几个数量级。但是,最佳实践表明,并且只有一个人应该知道帐户的密码,即拥有该帐户的人。管理员不应该知道,服务器也不应该知道(即哈希密码)。
这样做的通常方法是:如果密码最近(对于给定的值)已经过期,则用户可以使用其旧密码,但是在通过身份验证后(登录之前),他们被迫更改密码,然后立即断开连接。如果密码在一段时间前过期,则管理员可以在短时间内(例如10分钟)将过期的密码标记为“最近过期”。管理员不需要知道此密码是什么。如果用户忘记了密码,则管理员可以发出短时间(例如10分钟)的密码,这也将强制立即更改密码。
此外,如果用户最近一次更改了自己的密码,一年,则应免于更改(直到最后一次更改后恰好1年)。
每年更改一次密码的理论在大多数情况下也是极不可靠的-如果密码被盗用,通常会立即被最大程度地利用。仅给攻击者“平均” 6个月的访问权限(平均)似乎毫无意义(或就此而言“仅” 6天)。如果资源值得保护,则建议采用两因素身份验证,第二因素每次都是唯一的(Google身份验证器,OTP,OPIE,质询响应等)。
如果可以避免,管理员不应该知道用户的密码。如果需要,他们应该能够使用自己的OWN密码成为另一个用户,然后将其写入审核日志。如果存在多个级别的“管理员”(例如,有些人可以更改密码但不影响审核日志),则这一点尤其重要。
较小的混淆(例如音频,图像的安全性)等)是危险的,因为它们会在没有安全感的情况下自满。
评论
是的,尽管仅通过发送名称为“ kitten.gif”的图像文件(实际上包含文本新密码的“屏幕截图”)pwd1234在此添加障碍就足够了。坚定的攻击者将能够像破解电话录音一样破解此漏洞,而不仅仅是使用grep破解。两种方法都只能通过模糊来保证安全。
–leftaround关于
18年8月17日在13:22
#5 楼
在安全的系统中,IT提供的密码只能是临时的,只能使用一次,随机字符串,因此用户必须立即输入密码并将其更改为自己的新秘密密码。 IT永远都不应知道或传输用户的“真实”密码。重置前需要对用户进行审查,通过语音呼叫,提出问题,获得答案,完成操作要容易得多。
即使温度密码在通话中被窃听,将没有时间使用它。但是,电子邮件有时在被阅读之前会被忽略一段时间,这使攻击者有机会做最坏的事情。
此外,录制的语音呼叫可用于识别用户是否稍后被假冒,而您无法分辨是谁看了打开的电子邮件屏幕或远程电子邮件服务器。
我10年的经验是在金融机构环境中,因此,如果对安全的要求不太严格,那么这种安全级别在经济上可能就不合理。为IT机构付费是昂贵的,而且大多数系统/应用程序无论如何都将基于Web的安全性,因此无论如何都需要通过语音重置IT密码的日子。
评论
我同意您的回答,但是很遗憾,此VPN系统中没有来自最终用户的密码管理。因此,IT部门每年设置密码并进行更改。由于IT知道所有用户密码,因此丝毫不是安全系统。更糟糕的是,密码不是高熵密码(8个字符和2个数字,没有符号)。
–克里斯·西里菲斯(Chris Cirefice)
18年8月18日在15:47
#6 楼
电子邮件的安全性很难建立。电子邮件很可能保存在档案中(某些公司甚至有一些规定)。因此,从这个角度来看,在电子邮件中发送密码是一个坏主意。电子邮件拦截也可能发生。另一方面,电话的录制可能性较小,但可能存在电话拦截或录音。所以这不是一个好主意。我读到一条评论说,固定电话比计算机系统更难使用-我不同意。编排传统电话线比破解远程服务器要简单得多。 VOIP电话需要新技术,但也不是那么困难-插入集线器,将PC连接到集线器的一个端口,现在您拥有所有数据包的副本,并且VOIP解码软件比比皆是。截取手机信号可能更难,但是我不知道,还没有做到。
使用手机而不是电子邮件的一个(也许被认为)好处是可以确保您将密码提供给您想要提供密码的人。我本人是系统管理员,必须重置密码,这是我可以证明的。如果您发送电子邮件,您实际上并不知道另一端是谁。可能是欺骗性的电子邮件,帐户被劫持等。如果您认识此人,则可以识别该人的声音。您可以提出一些问题来验证真实性(您也可以通过电子邮件进行验证,但是通过电话进行操作时会有安全感)。
现在,让管理员设置密码,并且仍然可以密码,而不是让用户设置自己的密码,在我看来,这确实是一种不好的做法,由于这些因素,现在必须传输密码,而传输的内容将永远成为密码。
#7 楼
该政策还有其他内容吗?在许多组织中,他们将通过电话提供新密码,但他们必须知道对方的声音并回答问题(谁是您的老板,您的上一次审核时间是什么)。它有点类似于多因素身份验证过程。
#8 楼
坚持使用电话或短信发送密码时,我使用的逻辑是事实,它是第二个渠道。即使上面详细介绍了电子邮件中的所有不安全因素,但如果仅使用密码,没有足够的信息供恶意使用。但是,如果您截取的电子邮件的含义与“您在服务yyy上的帐户xxx的密码已更改为zzz”相似,则您拥有访问该帐户所需的一切。
评论
您假设电子邮件来自其他域中的地址。如果攻击者收到一封电子邮件,其密码从“ noreply@example.com”到“ alice@gmail.com”,则他们尝试的第一件事是使用用户名“ alice”和该电子邮件中的密码登录example.com。
– AndrolGenhald
18年8月16日在21:55
#9 楼
目前,拦截电子邮件要容易得多。这种情况将来可能会改变,但是现在:电子邮件被设计为可以任意长时间存储。您可以期望至少有一个服务器(如果没有几个服务器)可以保存所有数据。
电子邮件更易于处理。识别包含密码的电子邮件相对容易。在电话中识别它们比较困难。如果攻击者正在监听,则捕获密码显然很简单。但是,侦听需要更多的资源。
在某些时候,人工智能将使其变得更加容易。但是,目前看来情况并非如此。
它确实确实取决于您的威胁模型。此密码的价值是多少?我认为亿万富翁的银行证书比这或机密信息要得到更好的保护,但范围越小,用于获取信息的资源投入就越大。
评论
拦截电子邮件并不容易。通过模拟线路拦截电话要比进入电子邮件交易的数据路径容易得多,而且,电子邮件服务器实际上在传输消息时确实会使用加密。
–阿拉斯泰
18年8月23日在12:41
@alastair即使不知道哪个电子邮件或电话很重要也是如此吗?临时而言,捕获和处理一百万封电子邮件似乎比捕获和处理一百个电话要容易。至少我们确实是在我说的是真实的错觉上采取行动。在美国,如果您付出了足够的努力来保护通讯,则律师-客户的机密性将受到法律保护。座机电话被视为“受到充分保护”,而电子邮件则未被。
–Cort Ammon
18年8月23日在14:19
处理电话当然更难,但是我认为捕获电话更容易。我认为,如果您只专注于计算机/数据网络方面,那似乎就不是这样了,但是您已经忘记了听电话交谈的所有老式方法,通常比窃取网络设备容易得多。拦截数据包。处理也不是灾难性的困难(仅需要语音识别或人工;甚至是机械特克也可以工作)。
–阿拉斯泰
18年8月29日在15:01
#10 楼
电话的主要特点是电话仍然容易受到社会工程学的攻击,在这种情况下,呼叫者可以哄骗受信任的个人以使其获得访问权限。在电话上,我选择了一个自动菜单来“获得有关登录我的帐户的帮助”。客户服务代表Christine非常友好,并问我我的电子邮件地址和家庭住址,以便与我一起访问我的帐户。
我认为我们发现了问题……Christine只需要以下两点即可:使我进入我的帐户的信息?没有密码?没有手机吗?没有其他信息了吗?是什么让某人无法从数据库中找到我的电子邮件和家庭住址并打电话来接管我的帐户?
所以没人能嗅出您的电子邮件(可能未加密),但是我所需要的只是他们的电话号码和有关您的一些信息,我可能会这样做。
您好,我是克里斯·西里菲斯(Chris Cirefice)。我再次失去了VPN登录名。我发誓我写下来,你能给我一个新的吗?哇,那太好了,让我拿笔和纸...
#11 楼
关于为什么在电子邮件中发送密码= -value-不好的问题,有几个不错的答案。但是
没有人提及密码是否足够简单,很容易被破解。通过语音交流,可能还不够复杂,无法有效发挥作用,接收方可能要写在纸上...
相关的XKCD#936:简短的复杂密码或长字典密码?
评论
在一张纸上写密码没有错。很多安全信息都写在纸上。这是您要采取的步骤,以确保只有合适的人才能看到重要的文件。
–麦凯(Michael Kay)
18年8月17日在22:03
鉴于通过电话传达长序列号或合同支持号码(长度超过16个字符)在电话中相当常规,因此我不明白为什么传达16个字符以上的密码会更加困难。是的,他们会写下复杂的密码,但是如果通过电子邮件获得密码,他们还是会这样做。
– doneal24
18年8月18日在16:05
@ DougO'Neal密码还应该包含特殊字符,大多数人(或至少我)不熟悉其名称。
–詹姆斯·詹金斯(James Jenkins)
18年8月18日在23:54
另外,似乎没有人质疑不允许用户将自己的密码更改为只有他们知道的密码的观念。
–迈克尔
18年8月19日在16:19
@schroeder再次阅读了问题。这不是临时密码,而是每年所需的更改,使用呼叫者提供的密码。 OP无法选择对其进行更改。
–詹姆斯·詹金斯(James Jenkins)
18-09-23在23:42
#12 楼
电子邮件通常不会保存,但是无线信号可能会被窃听,以及窃听固定电话。最好的方法是使用https网站。评论
欢迎。 “通常不会保存电子邮件”-对我来说这是一个奇怪的看法,因为电子邮件服务器将记录或存储电子邮件的时间较长(肯定超过一年),并且电子邮件将一直存在于发件人的“已发送”框中清除。是的,可以入侵无线信号,但是所涉及的技能和时间安排似乎是一个重大障碍。
– schroeder♦
18年8月19日在21:54
并非罕见地要求公司保存电子邮件。根据我的经验,即使实际上没有必要,他们也会这样做。
– cHao
18年8月22日在2:20
:-)电子邮件通常以一种或另一种方式保存,有时是长期保存。但是,我认为问题的症结在于,可以肯定的是,大多数攻击者将无法同时损害电子邮件和电话,因此使用两条单独的途径来传递用户名和密码是安全上的胜利。这仍然不能防止所有攻击者的攻击。如果您的对手是一个民族国家,您可能想要采取更多的极端措施。
–阿拉斯泰
18年8月23日在12:45
这是打字错误
–bluninja1234
18/09/8在23:26
减去不抱歉的人
–bluninja1234
18/09/8在23:26
评论
对于不确定的历史记录,通常不会记录电话,而通常不会删除电子邮件。两者的传输安全性取决于很多因素(电话:是固定电话,2G / 3G / 4G,VoIP;电子邮件:SMTP是否使用TLS,客户端是否使用TLS等)@dandavis仅仅因为您与gmail的连接或任何安全的连接,并不意味着邮件将一直加密到目的地。 superuser.com/questions/260002/…
评论不作进一步讨论;此对话已移至聊天。
如果只有一个安全通道...例如已经存在的VPN
在谈论密码更安全时,要记住的几个关键点是:如果最终用户将电话放在扬声器上,重复输入密码或将密码写下来,以便他们记住,那么即使不通过电子邮件也可以避免额外的安全性,尤其是如果是密码,则不会强制更改或无法更改。另一个要点是,并非所有人都可以使用电话,例如聋人,听力障碍者和由于某种原因而失去语音的人,这意味着需要其他方式来为用户提供密码。