Engedélyezni kell az egyidejű bejelentkezést?
On január 1, 2021 by adminVan egy internetes alkalmazásunk (Django), amely kijelentkezteti a felhasználókat, ha 1 órán belül nem nyújtottak be kérelmet.
biztonsági szempontból, jó gyakorlat-e az egyidejű bejelentkezések blokkolása is? Más szavakkal, ha egy felhasználó bejelentkezik a számítógépére, majd a mobil eszközéről jelentkezik be, akkor ki kell jelentkeznie a munkamenetből a számítógépén?
Megjegyzések
- Ez inkább a funkcionalitás kérdése. Ez hasznos vagy sem? Biztonsági szempontból miért ne állíthatna be kijelentkezési időzítőt?
- @binarym Ha az X felhasználó átadta a hitelesítő adatait, mi akadályozza meg abban, hogy elhagyja a fiókot a másiknak? Az 1 munkamenetre való korlátozás nagyon keveset segít, és sok esetben nagyon kényelmetlen lehet. megadva a hitelesítő adataikat, akkor soha nem feltételezheti, hogy amikor az X felhasználó bejelentkezik, akkor valóban be van jelentkezve … meg kell követelnie a felhasználótól, hogy folyamatosan adja meg az ujjlenyomatát / retina vizsgálatát stb. maguk ülnek az ügyfél előtt …
- Ez nem fogja megakadályozni őket, de fájdalmasabban fogja használni a szolgáltatást, és valószínűleg el fogja őket bátortalanítani. fiók megosztása ….
- Ami a kijelentkezési időzítőt illeti, elfogadható-e az egyes munkamenetek külön-külön történő időzítése? Ami ‘ biztonsági kockázatot jelent, attól függ. A Stack Exchange lehetővé teszi az egyidejű bejelentkezést. Ez biztonsági kockázatot jelent számukra? Gondoljon arra, hogy a meglévő szolgáltatások hogyan kezelik ezt a problémát, úgy tűnik, hogy ‘ helyrehozza a rossz problémát.
- Nos, én ‘ m 3 különböző eszközről (egyidejűleg) végleg bejelentkezett az e-mail fiókomba. Találd ki, hogy ‘ hogyan tudok tüzet és kénkövet rázni a szolgáltató felé, ha ez nem működött ‘ …
Válasz
Itt nincs “egy válasz mindenkinek”. Ha egyszerűen közösségi média alkalmazás, akkor elegendőnek kell lennie az egyidejű munkamenetek engedélyezéséhez, de lehetőséget kell kínálnia arra is, hogy az egyik vagy az összes munkamenetet megszüntesse, ha a fiók sérül. Sok játéktípus esetében az egyidejű hozzáférés csalást jelent, ezért valószínűleg meg kell tiltani, vagy legalábbis úgy kell megtervezni, hogy a fiók ne csalhasson meg (pl. Több látens munkamenet is lehet, de csak egy aktív munkamenet). Érzékeny információkkal rendelkező rendszereknél, például a HIPAA-val vagy a GDPR-rel kapcsolatos információkhoz valószínűleg 2FA-ra van szükség, rövid munkamenet-időkre, és az egyidejű bejelentkezéseket valószínűleg meg kell tiltani.
Az itt fontos dolog közös Meg kell kérdezned magadtól, hogy “mi a legrosszabb, ami történhet, ha az egyidejű hozzáférést engedélyezik?” és “mit nyerne a felhasználó egy ilyen funkcióval?” Ha a hátrányok meghaladják az előnyöket, ne tedd. Ha túl nagy a kockázat, ne tedd. Ha ez megkönnyítené a felhasználót, fontolja meg az egyidejű bejelentkezés engedélyezését, esetleg bizonyos figyelmeztetésekkel, például csak egyet. egyidejűleg aktív munkamenet, vagy lehetővé teszi a munkamenet-kezelés számára a munkamenetek letiltását, és mindenesetre a 2FA-nak valószínűleg rendelkezésre kell állnia, ha nem szükséges.
Megjegyzések
- Jó válasz. És azt is meg kell kérdezni, hogy ” mi a ‘ a legrosszabb, ami akkor történhet, ha az egyidejű hozzáférés nem megengedett? ”
- @mentallurg Szintén jó pont – a felhasználók nem szeretik a korlátozásokat ‘ bármi más, mint a hackerek, ezért megpróbálhatják megtalálni a biztonság veszélyeztetésének módjait, ha ez kényelmesebbé teszi őket.
- Ahol ‘ veszélyezteti az egyidejű bejelentkezéseket, miközben érzékeny adatok kezelése?
- Nem látom ‘ hogy hol van a nagy kockázat. ess ‘ s valami, ahol ‘ nincs jó ok arra, hogy a felhasználót két eszközre bejelentkezzék (mondjuk valami pénzért regisztrálni), engedélyezni kell, különösen, ha az alkalmazás számítógépeken és mobil eszközökön egyaránt működik.
- Ha maximalizálni szeretné a felhasználói elkötelezettséget, távolítson el minél több akadályt – például bejelentkezést. Ha ez egy e-kereskedelmi webhely, akkor ‘ olyan megengedő lehetek, mint amennyit a fizetési átjárómmal kötött megállapodás megenged.
Válasz
Az egyidejű bejelentkezést feltétlenül engedélyezni kell. Itt van két konkrét példa, amely szemlélteti a miérteket:
- Képzelje el, ha az iCloud / iMessage / Gmail / Google Drive számítógépen történő használatával az Apple vagy a Google-fiókját kijelentkezték a telefonjára, és fordítva
- Képzelje el, hogy a Dropbox szinkronizálása a laptopon okozta-e az Ön asztalán való kijelentkezést
Mellékjegyzet: mivel vannak képernyőzárók, meg kell szabadulnia a 1 órás időkorlát is. Ismételje meg, képzelje el, hogy a Gmail rendelkezett-e ezzel.
Megjegyzések
- Válasza túl tág és csak a fogyasztói megoldások használatán alapul. .Az elveket nem lehetett ‘ nem úgy alkalmazni, mint minden webalkalmazást, csak azért, mert ez így működik a GAFA dolgoknál …
- Azoknak az embereknek, akik nem ‘ nem tetszik ez a válasz: kifogásai szinte biztosan érvényesek. Ne feledje, hogy bármilyen fontosnak tartja is a felhasználói kényelmet, ‘ ennél is fontosabb. ‘ erre jó emlékeztetni.
- @emory nem ‘ nem értek egyet, de hogyan ennek a felelősségnek a nagy része a szoftverre hárul?
- @JaredSmith talán jobb példa egy github-adattár törlése. A felhasználói kényelem kiemelkedően fontos. Ha valami nem kényelmes, akkor annak tudatos döntés, nem pedig gondatlanság miatt kell történnie.
- @emory, akkor is gondolhat rá a felhasználói kényelem szempontjából – ez ‘ s nagyon kényelmetlen, ha véletlenül kitörölted a github adattáradat, vagy véletlenül elindítottunk egy nukleáris rakétát. Összehasonlíthatja (a szándékos cselekvés gyakorisága x erőfeszítés a folyamathoz) a (nem szándékos cselekvés gyakorisága x erőfeszítés a visszafordításhoz), hogy meghatározza a folyamathoz szükséges erőfeszítés legjobb szintjét.
Válasz
Az, hogy engedélyezni vagy tiltani szeretné-e az egyidejű bejelentkezést, nagyon az alkalmazás fenyegetési modelljéhez fog kapcsolódni. Általában azt mondanám, hogy nagyobb kockázatú alkalmazásoknál (pl. Online banki szolgáltatások vagy bármi más tranzakció esetén) valószínűleg indokolt az egyidejű bejelentkezés megtagadása.
A biztonsági előny szempontjából a legfontosabb az, hogy az egyidejű bejelentkezéseket nem engedélyezzük. csökkentheti annak kockázatát, hogy a munkamenet-eltérítő támadás hosszú ideig fennmaradhasson.
Például, ha egy támadó képes ellopni egy munkamenet-tokent, akkor ha egyidejű bejelentkezést nem engedélyez, akkor az érvénytelen lesz, amikor a felhasználó visszalépett.
További lehetséges előny, ha egy felhasználó bejelentkezettként hagyja magát egy megosztott számítógépen, és a következő munkamenetet érvénytelenítve csökkenti annak kockázatát, hogy a számítógép másik felhasználója hozzáférjen a számítógépéhez. munkamenet.
A kompromisszum az, hogy a felhasználóknak nem tetszik, hogy sokat hitelesítsenek, különösen, ha ez nagy súrlódású folyamat.
Megjegyzések
- pl online banki szolgáltatás ironikus módon ennek beírása közben háromszor párhuzamosan ‘ m jelentkeztem be egy bank ‘ bankba. Nem gondolom, hogy a ” magasabb kockázatú alkalmazások ” önmagában jó minősítés a megtagadáshoz egyidejű bejelentkezések. Meg kell értenie a tipikus felhasználási eseteket, azt, hogy milyen tényleges fenyegetést próbál meg ‘ megállítani, és milyen egyéb módszerei vannak a fenyegetés leállításának. Az online banki szolgáltatások esetében jellemző lehet, hogy engedélyezzük az egyidejű bejelentkezést az ügyfél által korábban használt terminálokról (azaz otthoni számítógépükről és mobiltelefonjukról), de nem ismeretlen helyekről (azaz egy véletlenszerű IP-cím egy másik országban).
- Így válaszom kezdő mondata 🙂
Whether you want to allow or disallow concurrent logins will very much come down to the threat model of your application
online banki tevékenység egy lehetséges magasabb kockázatú alkalmazás példája volt. Nyilvánvaló, hogy bankja másképp határozta meg fenyegetési modelljét, és szélesebb körű enyhítést alkalmazhat
Válasz
Nem valószínű, hogy az egyidejű munkamenetek bármiféle fenyegetést jelentenének. Azok leállítása azonban kényelmetlen és biztonsági szempontból valóban káros lehet.
Például: Ha feltételezzük, hogy egy támadó hozzáférést kapott a fiókot, a legegyszerűbb megoldás az említett fiók jelszavának megváltoztatása lenne. De mi van akkor, ha a felhasználó nem tud bejelentkezni a jelszó megváltoztatásához, mert a munkamenet már valahol máshol volt aktív? A felhasználó most teljesen zárolva van, és a hacker korlátlanul rendelkezik hozzáférés.
Az a rendszer, ahol az előző munkamenetet kijelentkeznék, lehet, hogy valamivel jobb, de nem sokkal. A támadó mindig megteheti, hogy egy bot olyan gyakran jelentkezzen be, és a szolgáltatás megtagadását okozhatja Ez valószínűleg arra készteti a felhasználót, hogy úgy gondolja, hogy a rendszerben van egy hiba, nem pedig ez Az eir-fiókot eltérítették, így kevésbé valószínű, hogy megváltoztatja jelszavát vagy más intézkedéseket tesz.
Ehelyett egy olyan rendszer, ahol a munkameneteket a bejelentkezett felhasználó megtekintheti, sokkal hatékonyabb lenne, mint egy gyanús munkamenet be kell jelenteni és bezárni, és a felhasználónak tudnia kell, hogy megváltoztatja a hitelesítő adatait.
Természetesen az egy munkamenet-egyszerre rendszerek hasznosak, de főleg a játékokban való csalás megakadályozására stb. Kombinálva a lejáró munkamenetekkel , IP-ellenőrzés a munkameneteken, és lehetővé teszi a felhasználó számára az aktív munkamenetek megtekintését, az egyidejű munkameneteknek tökéletesen biztonságosnak kell lenniük.
Válasz
A felhasználók biztonságát két rendszer szabályozza:
-
Bejelentkezési adatok : Ha valaki ellopja a felhasználó jelszavát, akkor az egyidejű bejelentkezések megtagadása (új eszközök nem fogadhatók el) segít. jobb ötlet, ha van 2fa. Ha a felhasználó szándékosan osztja meg jelszavát, akkor nagyon kevés biztonsági előny származik abból, ha csak egyidejű bejelentkezést engedélyez (mivel a felhasználó kijelentkezhet, és hagyhatja, hogy a másik bejelentkezzen).
-
Munkamenet-kezelés : Itt a legnagyobb kockázat, hogy a munkamenet-tokenek ellophatók. Ebben az esetben több eszköz fogja használni ugyanazt a munkamenetet, tehát a háttérrendszeréhez ez továbbra is csak egyidejű bejelentkezés.
Megjegyzések
- ” A probléma megoldásához használja a termék! ” nem érvényes válasz. Kérjük, adjon meg egy módszert, ne a saját termékét, mint megoldást
Vélemény, hozzászólás?