我有一个通过电子邮件发送用户名和密码的应用程序(随机临时密码,首次登录时强制更改)。
一位大客户的政策是“永远不要在同一封邮件中发送用户名和密码”——他们要求进行更改,以便将其分成两封电子邮件,一封包含用户名,另一封包含密码。
如果需求是使用不同的渠道发送信息,我会理解,比如说,通过电子邮件发送用户名和通过 SMS 发送密码,因为同时破坏这两个渠道更难。但是通过同一渠道发送分成两条消息的信息对我来说毫无意义:如果您认为您的电子邮件可能会受到损害,您必须假设攻击者将能够阅读这两条消息,那么压裂点是什么?
这个政策背后有什么逻辑吗?
我将此安全建议描述为Cargo Cult Security。我不知道一个只会破坏一封电子邮件的漏洞。通过在两封电子邮件中发送它并没有删除最薄弱的链接,这对用户来说简直是烦人。
作为 GET 参数传递的临时密码或令牌通常通过电子邮件发送。我从未见过这个过程分成两封电子邮件。
我会请推荐此更改的安全分析师为您提供一个可以提高安全性的特定场景。
听起来像是审核列表上的复选框项目。
除了可能使用户更难将两封电子邮件意外转发到同一个第三方或邮件列表之外,我没有看到任何真正的安全性。任何足以使电子邮件相互分离的神秘事物也会使用户更难使用它们。此外,除非用户收到大量垃圾邮件,否则这两封电子邮件在用户的收件箱中也将直接按顺序排列,无论这封电子邮件在内容和来源上假装多么不同。
如果您的应用程序有一个网站,您可以回避审计问题 - 只需包含一个一次性帐户创建 URL,该 URL 将用户带到 HTTPS 页面以输入新密码。
在大多数情况下,您完全正确地认为该策略仅在第二条消息被带外发送时才有意义。在某些情况下,我可以想到将这对分成两封电子邮件的好处:
攻击者可能能够使用用户名 + 原始密码,通过客户支持更轻松地通过社会工程手段进入您的帐户。用户名电子邮件可以存档,密码一个可以删除。尽管如果他们控制了您的电子邮件帐户,那么他们可能只需重置密码即可。
在网络的狂野中,消息包的传输路径可能会有很大差异。如果该路由最终通过信誉不佳的路由器,它可以记录用户名/密码对。单独的消息可以采用单独的路由。
窃听者,例如当有人在星巴克 WiFi 上查看他们的电子邮件时。如果它们不同时打开,则两者都被记录的机会较小。
是的,2 可以通过坚持专门使用 HTTPS 的服务来显着减轻,3 完全由它解决。