Los proveedores de correo web pueden arreglar los problemas de ataque del tipo sucedido a Palin

Posted on by

Una de las preguntas más importante que deberíamos hacernos a la luz de la violación del correo web de Palin, discutidos en profundidad aquí, aquí and aquí, es: ¿cómo podría haberse prevenido?. Hay varias técnicas de software que me vienen a la mente que podrían ayudar a prevenir ataques de reinicio de contraseña del correo web.

En general no soy un creyente del modelo de seguridad de “hecharle un software al problema”. El software es una herramienta que puede ser comprada y empleada cuando es necesario, pero no es una panacea. Sin embargo, puedo pensar en varias soluciones de software que podrían haber detenido el ataque de ingeniería social. Por ejemplo, la detección de algún tipo de anomalía podría ser usada conectada con la dirección IP que se conectó al formulario de reinicio de contraaseña de Yahoo.

Las reglas “gatillo” para impedir que una IP reinicie una contraseña podrían ser tan simples como “si esta persona nunca estuvo en el area geográfica relacionada con esta dirección IP, no permita que se reinicie la contraseña”. Otra podría ser alguna técnica de “huella digital” del lado cliente para determinar si se trata de un sistema de computación completamente nuevo el que intenta reiniciar la contraseña. Una tercera podría ser usando el teléfono celular del dueño como un segundo factor de autenticación, y poder obtener el reinicio enviando un mensaje (SMS) al teléfono.

Los proveedores deben ser muy cuidadosos en la implementación de cada una de estas propuestas para que no aumente el número de personas que no puedan usar los sistemas automatizados y que necesiten hablar con un ser humano. El correo web gratuito no es un gran generador de dinero, y cualquier aumento en los pasos de remediación del lado humano elevará el costo del servicio. Por otra parte, los proveedores pueden elegir no mejorar la seguridad, y depender de una evasiva base de usuarios para bajar su costo.

Autor: Adam O’Donnell

Fuente:

http://blogs.zdnet.com/security/?p=1951

http://www.networkworld.com/news/2008/091908-yahoo-hotmail-gmail-all-vulnerable.html?

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>