12.09.2014

Сказ о том, как о моем неутекшем пароле побеспокоились

Вчера я получил от Parallels письмо следующего содержания:



Вроде все понятно. Произошла компрометация большого числа почтовых учетных записей Яндекса, Mail.ru и Gmail. Некоторые компании, у которых пользователи регистрировались с указанием e-mail с указанных почтовых сервисов, решили побеспокоиться о своих клиентах и, кто-то просто предупредил о необходимости сменить пароль, кто-то решил сработать на опережение и заблокировал учетные записи, так сказать "во избежание".

И вот тут начинается самое интересно. Ни одной моей учетной записи скомпрометировано не было, но я все-таки получил сообщение о блокировке. Яндекс утверждает, что утечка произошла не у них, а путем фишинга и снифинга паролей у пользователей в течение длительного времени. Кто-то считает, что дело не чисто и есть некоторые сомнения в невиновности Яндекса. Я не буду сейчас вникать в это. Я хочу вернуться к теме, которую я поднимал в прошлом году - про слишком избыточную привязку к e-mail, как средству идентификации пользователя.

Что сделал Parallels, решив побеспокоиться обо мне? Заблокировал учетку и попросил доказать, что я - это я. И вот дальше самое интересное. Я захожу по ссылке на сайт Parallels, где меня просят указать мой... якобы "скомпрометированный" e-mail. Зачем? Вот какой в этом потаенный смысл? Если мой почтовый ящик не скомпрометирован, то мне достаточно было бы прислать напоминание о необходимости более внимательно относиться к своей безопасности или попросить привязать мою учетную запись не только к e-mail, но и к номеру мобильного телефона или использовать другой механизм (тот же Google Authenticator).


Если же мой почтовый ящик скомпрометирован, а Parallels именно это и подозревает (иначе нафига было блокировать мою учетную запись), то зачем отправлять на скомпрометированный e-mail инструкцию и ссылку на восстановлению доступа? Получается замкнутый круг :-(


Спустя какое-то время я получаю на ту же самую почту стандартное письмо с ссылкой на смену пароля.


Пройдя по ссылку, я меняю пароль и вуаля, я вновь имею доступ к своей учетной записи. По сути я проделал кучу манипуляций только ради того, чтобы сменить пароль к моей учетной записи на сайте Parallels. При этом, если раньше злоумышленник пароля на доступ к Parallels не знал вовсе, то теперь именно он его и установил (при условии компрометации почтового ящика). Удобно, ничего не скажешь.


Собственно винить Parallels тут и сложно и должно. Сложно, потому что у них врядли есть мои контакты кроме e-mail. Должно, потому что давно стоило бы использовать многофакторную аутентификацию и не просто запросить у меня номер мобильного телефона (такое поле есть в профиле пользователя, но оно необязательное), но и использовать его для восстановления доступа к учетной записи. Но другим компаниям, которые используют регистрацию пользователей на своих сайтах стоит подумать над изменением процесса регистрации, а точнее механизма идентификации пользователя.

ЗЫ. Единственное, что меня смущает во всей этой истории - позиция CISO Parallels. Алексей утверждает, что восстановление пароля по описанной мной процедуре не зависит от компрометации почтового ящика и полностью безопасно. Возможно это и так, и от пользователей просто скрывается сверхсекретная и сверхзащищенная процедура идентификации пользователя скомпрометированного почтового ящика. Но вот гложут меня сомнения все-таки... 

11 коммент.:

arkanoid комментирует...

Ох. Все-таки в твитере решительно невозможно давать какие-то развернутые объяснения -- никто так и не понял. Хорошо, расскажу здесь. Почему "совы -- не то, чем кажутся".

Давайте смотреть на это не как на блокировку учетной записи, а как очень настойчивое напоминание сменить пароль. Ну, это ориентировано на частных пользователей, тут нет парольных политик в привычном нам понимании.

И да, нам совершенно все равно (YMMV, ну, практически все равно), если это сделает злоумышленник. Нам важно, чтобы пользователь зашел таки и его поменял -- хотя бы еще раз, заметив подозрительную активность.

Почему и почему тут не нужна многофакторная аутентификация? Потому что в том, что мы защищаем -- доступе к пользовательским компьютерам через Parallels Access де факто она уже есть! Одновременно с деактивацией учетки мы сбросили все настройки взаимного доверия с клиентских устройств. Так что все устройства нужно регистрировать заново, а зарегистрировать там новый мобильный клиент, не привязанный к пользовательскому десктопу, у злоумышленника не получится.

Вот, собственно, и все. А в самом "личном кабинете" защищать нечего.

Да, в этой схеме при определенном уровне безответственности пользователя остаются зазоры, но тут уже мы бессильны.

sitnoff комментирует...

Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.

sitnoff комментирует...

Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.

sitnoff комментирует...

Привязка к номеру телефона тоже не панацея. У меня был случай, когда я не пользовался несколько месяцев симкой и Билайн просто заблокировал мой номер и продал другому клиенту. Многие привязанные сервисы стали недоступны. В этом году на территории Крыма у тысяч людей перестали работать номера украинских опсосов и люди потеряли доступ к сервисам, требующим смс-подтверждения.

Алексей Лукацкий комментирует...

arkanoid: вот что ж ты к этому Access привязался. Ну нет его у меня и не было никогда. У меня только ваша виртуалка и все.

И если у меня нет Access, и вам пофигу, что пароль может поменять злоумышленник, то в чем смысл был всей этой акции?

Для перестраховки как-то муторно получилось. А с точки зрения безопасности и вовсе коряво.

Алексей Лукацкий комментирует...

sitnoff: не панацея, но лучше, чем привязки нет

Lumag комментирует...

Возможно скомпроментированный аккаунт с неизвестным статусом, на мой взгляд, хуже, чем аккаунт на котором после блокировки N раз поменяли пароль.

arkanoid комментирует...

Ну так вот именно. Я не вижу проблем в том, что мы посылаем нотификацию на скомпрометированный почтовый ящик. Если даже злоумышленник уведет его насовсем, лучше завести новую учетку, чем держать в неизвестном статусе. Предложи сценарий лучше?

Алексей Лукацкий комментирует...

А мой ящик не был скомпрометирован. Ни по одной из баз

arkanoid комментирует...

Того, что его не было в опубликованных базах, недостаточно, чтобы это утверждать ;-)

Алексей Лукацкий комментирует...

Это паранойя :-) Тогда ничего не мешает утверждать, что его тырят каждые 37 минут и каждые 37 минут надо их обнулять :-)