Если же мой почтовый ящик скомпрометирован, а Parallels именно это и подозревает (иначе нафига было блокировать мою учетную запись), то зачем отправлять на скомпрометированный e-mail инструкцию и ссылку на восстановлению доступа? Получается замкнутый круг 🙁
Спустя какое-то время я получаю на ту же самую почту стандартное письмо с ссылкой на смену пароля.
Пройдя по ссылку, я меняю пароль и вуаля, я вновь имею доступ к своей учетной записи. По сути я проделал кучу манипуляций только ради того, чтобы сменить пароль к моей учетной записи на сайте Parallels. При этом, если раньше злоумышленник пароля на доступ к Parallels не знал вовсе, то теперь именно он его и установил (при условии компрометации почтового ящика). Удобно, ничего не скажешь.
Собственно винить Parallels тут и сложно и должно. Сложно, потому что у них врядли есть мои контакты кроме e-mail. Должно, потому что давно стоило бы использовать многофакторную аутентификацию и не просто запросить у меня номер мобильного телефона (такое поле есть в профиле пользователя, но оно необязательное), но и использовать его для восстановления доступа к учетной записи. Но другим компаниям, которые используют регистрацию пользователей на своих сайтах стоит подумать над изменением процесса регистрации, а точнее механизма идентификации пользователя.
ЗЫ. Единственное, что меня смущает во всей этой истории — позиция CISO Parallels. Алексей утверждает, что восстановление пароля по описанной мной процедуре не зависит от компрометации почтового ящика и полностью безопасно. Возможно это и так, и от пользователей просто скрывается сверхсекретная и сверхзащищенная процедура идентификации пользователя скомпрометированного почтового ящика. Но вот гложут меня сомнения все-таки…
Ох. Все-таки в твитере решительно невозможно давать какие-то развернутые объяснения — никто так и не понял. Хорошо, расскажу здесь. Почему "совы — не то, чем кажутся".
Давайте смотреть на это не как на блокировку учетной записи, а как очень настойчивое напоминание сменить пароль. Ну, это ориентировано на частных пользователей, тут нет парольных политик в привычном нам понимании.
И да, нам совершенно все равно (YMMV, ну, практически все равно), если это сделает злоумышленник. Нам важно, чтобы пользователь зашел таки и его поменял — хотя бы еще раз, заметив подозрительную активность.
Почему и почему тут не нужна многофакторная аутентификация? Потому что в том, что мы защищаем — доступе к пользовательским компьютерам через Parallels Access де факто она уже есть! Одновременно с деактивацией учетки мы сбросили все настройки взаимного доверия с клиентских устройств. Так что все устройства нужно регистрировать заново, а зарегистрировать там новый мобильный клиент, не привязанный к пользовательскому десктопу, у злоумышленника не получится.
Вот, собственно, и все. А в самом "личном кабинете" защищать нечего.
Да, в этой схеме при определенном уровне безответственности пользователя остаются зазоры, но тут уже мы бессильны.
Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.
Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.
Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.
arkanoid: вот что ж ты к этому Access привязался. Ну нет его у меня и не было никогда. У меня только ваша виртуалка и все.
И если у меня нет Access, и вам пофигу, что пароль может поменять злоумышленник, то в чем смысл был всей этой акции?
Для перестраховки как-то муторно получилось. А с точки зрения безопасности и вовсе коряво.
sitnoff: не панацея, но лучше, чем привязки нет
Возможно скомпроментированный аккаунт с неизвестным статусом, на мой взгляд, хуже, чем аккаунт на котором после блокировки N раз поменяли пароль.
Ну так вот именно. Я не вижу проблем в том, что мы посылаем нотификацию на скомпрометированный почтовый ящик. Если даже злоумышленник уведет его насовсем, лучше завести новую учетку, чем держать в неизвестном статусе. Предложи сценарий лучше?
А мой ящик не был скомпрометирован. Ни по одной из баз
Того, что его не было в опубликованных базах, недостаточно, чтобы это утверждать 😉
Это паранойя 🙂 Тогда ничего не мешает утверждать, что его тырят каждые 37 минут и каждые 37 минут надо их обнулять 🙂