Resultados 1 a 6 de 6
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,002

    Thumbs down Segurança do Registro.br

    Hoje mais uma vez recebi do Registro.br um e-mail "Lembrete de senha" sem ter solicitado.

    O e-mail fornece o "lembrete", um link para troca imediata da senha (sem qualquer verificação adicional), e o IP do solicitante anônimo.

    Não me parece razoável permitir a troca da senha sem utilizar nenhuma forma de identificação e/ou confirmação, absolutamente sem nenhum processo de segurança e sem notificação adicional além do e-mail utilizado.

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Jul 2011
    Posts
    1,036
    Citação Postado originalmente por 5ms Ver Post
    Hoje mais uma vez recebi do Registro.br um e-mail "Lembrete de senha" sem ter solicitado.

    O e-mail fornece o "lembrete", um link para troca imediata da senha (sem qualquer verificação adicional), e o IP do solicitante anônimo.

    Não me parece razoável permitir a troca da senha sem utilizar nenhuma forma de identificação e/ou confirmação, absolutamente sem nenhum processo de segurança e sem notificação adicional além do e-mail utilizado.
    Basta ligar a autenticação de dois fatores que não vai adiantar trocar a senha sem ter acesso ao token. Segurança de 1 fator tem apenas 1 fator, que é acesso à conta de e-mail cadastrada.

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Não sei se até hoje é assim, mas mesmo que precise da condição de informar o email para solicitar o lembrete de senha, é possivel ver no whois...
    oGigante.com*• Revenda de Hospedagem Cloud Linux + WHMCS Grátis
    VWhost.com.br • Revenda de Hospedagem Linux Cpanel + CloudFlare
    Zocka.com.br • Hospedagem de Sites Cpanel + Construtor de Sites

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Jul 2011
    Posts
    1,036
    Citação Postado originalmente por chuvadenovembro Ver Post
    Não sei se até hoje é assim, mas mesmo que precise da condição de informar o email para solicitar o lembrete de senha, é possivel ver no whois...
    O e-mail é mostrado sim no WHOIS, mas acho que o 5ms queria mais algo na linha "perguntas de segurança".

  5. #5
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,002
    Citação Postado originalmente por rubensk Ver Post
    O e-mail é mostrado sim no WHOIS, mas acho que o 5ms queria mais algo na linha "perguntas de segurança".
    Sim.

    O que me incomoda é que o e-mail do whois é o mesmo e-mail de contato com o Registro.br e é despachada uma mensagem com link para troca imediata da senha, o que é até comum em provedores mariola mas pode fazer um bom estrago em se tratando de acesso ao Registro.br (ex: mudar nameservers). Eu desconhecia a opção de token mas ainda assim eu acho que esse procedimento do link precisa ter pelo menos a possibilidade de contra-ordem, anulando o link e suspendendo essa forma por x horas. Claro que não resolve o problema de "insiders" insatisfeitos/criminosos com acesso ao servidor de e-mail ou dns (da empresa ou do provedor) mas é algo que minimamente eu esperava, como perguntas adicionais e coisa e tal antes de remeter o linkj. Se você comparar com os procedimentos para reaver senha no Hotmail, por exemplo, a segurança básica (sem tokens) do Registro.br é inexistente e precisa de uma atualização. Gostaria de sugerir também implantar e-mail de comunicação com o Registro.br além do endereço e-mail público, como faz a eNom, e retirar o lembrete do acesso publico, como lembrou o Chuva.
    Última edição por 5ms; 02-06-2016 às 12:25.

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Jul 2011
    Posts
    1,036
    Citação Postado originalmente por 5ms Ver Post
    Sim.

    O que me incomoda é que o e-mail do whois é o mesmo e-mail de contato com o Registro.br e é despachada uma mensagem com link para troca imediata da senha, o que é até comum em provedores mariola mas pode fazer um bom estrago em se tratando de acesso ao Registro.br (ex: mudar nameservers). Eu desconhecia a opção de token mas ainda assim eu acho que esse procedimento do link precisa ter pelo menos a possibilidade de contra-ordem, anulando o link e suspendendo essa forma por x horas. Claro que não resolve o problema de "insiders" insatisfeitos/criminosos com acesso ao servidor de e-mail ou dns (da empresa ou do provedor) mas é algo que minimamente eu esperava, como perguntas adicionais e coisa e tal antes de remeter o linkj. Se você comparar com os procedimentos para reaver senha no Hotmail, por exemplo, a segurança básica (sem tokens) do Registro.br é inexistente e precisa de uma atualização. Gostaria de sugerir também implantar e-mail de comunicação com o Registro.br além do endereço e-mail público, como faz a eNom, e retirar o lembrete do acesso publico, como lembrou o Chuva.
    - Perguntas de segurança são informações que primeiro precisariam ser adquiridas para então perguntadas; além de atualmente não disponíveis, elas tem reações bem adversas do público leigo, que basicamente nunca lembra nem da própria senha e nem qual é seu ID no sistema...
    - Já para o público mais exigente, o nível de segurança de perguntas para reset tem um problema que já foi notado em sistemas como Apple ID e outros de que o que um serviço online considera sigiloso e outro publica, e basta ter um conjunto suficiente de serviços para se obter esses dados. Isso não é especulação teórica, já aconteceu.
    - Nem todo usuário tem mais de uma conta de e-mail... aliás, já começam a apesar usuários de serviços online que nem tem ou se lembram de ter conta de e-mail (ex: geração Z).
    - O lembrete é para se lembrar, se fosse para mandar por e-mail, já vai o link de reset mesmo...

    O token não custa nada a mais e é uma solução muito mais efetiva, então esse tipo de paliativo não parece um bom uso das pessoas-hora de produto e engenharia... notar que fizemos uma divulgação maciça do token quando de seu lançamento para todos os contatos.

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •