Chris Cirefice
2018-08-16 22:39:21 UTC
每年,我用來連接到機構服務器的VPN帳戶都會自動重置密碼。 VPN帳戶/密碼由該機構的IT部門管理,因此我必須每年發送一封電子郵件以跟進帳戶控制器,以獲取新密碼。這總是以電話結尾,因為他們的政策是不通過電子郵件發送密碼。
我對為什麼通過電子郵件發送密碼不好的理解很模糊,但是老實說,我不明白為什麼通過電話告訴別人密碼會更好。 假設我有0%的機會更改其政策(我真的沒有機會),為什麼通過電話告訴某人的密碼比電子郵件更安全?
我我主要關注電話/電子郵件被第三方攔截的能力,但是@Andrew提出了有關電子郵件永久性的觀點。
有一些很好的信息在此問題/答案中,但是這個問題是關於發送登錄信息的最安全方式,而我特別在詢問電話與電子郵件安全性。 >
對於不確定的歷史記錄,通常不會記錄電話,而通常不會刪除電子郵件。兩者的傳輸安全性取決於很多因素(電話:是固定電話,2G / 3G / 4G,VoIP;電子郵件:SMTP是否使用TLS,客戶端是否使用TLS等)
@dandavis僅因為您與gmail的連接或任何安全的連接,並不意味著該消息將一直加密到目的地。https://superuser.com/questions/260002/why-are-email-transfers-between-mail-servers-often-not-encrypted
評論不作進一步討論;此對話已[轉移至聊天](https://chat.stackexchange.com/rooms/81926/discussion-on-question-by-chris-cirefice-it-will-only-give-password-over-phone)。
如果只有安全通道...例如已經存在的VPN
在談論密碼更安全時,要記住的幾個關鍵點是:如果最終用戶將電話放在揚聲器上,重複輸入密碼或將密碼寫下來,以便他們記住,那麼即使不通過電子郵件也可以避免額外的安全性,尤其是如果是密碼,則不會強制更改或無法更改。另一個要點是,並非所有人都可以使用電話,例如耳聾,聽力障礙和由於某種原因而失去語音的人,這意味著需要其他方式來為用戶提供密碼。
實際上,有人在電話上給您提供密碼已經是1個人知道這個密碼了。或任何2路加密)。當整個過程從一開始就已經存在一些我發現更多有關安全性的缺陷時,我感到驚訝的是,他們感到如此麻煩。而且我不是安全專家...
另一個原因可能是驗證,如果仍然有實際人員在使用該帳戶。威脅模型可能是帳戶劫持,原始用戶甚至不再使用該帳戶。-在這種情況下,攻擊者將需要模擬完整的個人對話,這對於可能危害帳戶的殭屍網絡或非母語用戶而言要困難得多。
2FA的一個關鍵方面是因素必須是完全獨立的交付流。因此,2FA身份驗證(實際上是密碼加智能卡,或者密碼加密鑰交換)並不是很有效。這三種都是很好的身份驗證方法,但是將它們結合起來並不能強制兩個因素。電話會做到這一點(假設您沒有通過桌面應用程序接聽電話),還有安德魯·格里爾(Andrew Greer)提到的不留下任何電話音頻記錄的附加好處。