Le service informatique ne donne le mot de passe que par téléphone - mais est-ce vraiment plus sûr que le courrier électronique?
Chaque année, une réinitialisation automatique du mot de passe se produit sur un compte VPN que j'utilise pour me connecter aux serveurs de l'institution. Les comptes/mots de passe VPN sont gérés par le service informatique de l'institution, je dois donc envoyer un e-mail chaque année pour faire un suivi avec le contrôleur de compte afin d'obtenir le nouveau mot de passe. Cela se termine toujours par un appel téléphonique, car leur politique est de ne pas envoyer de mots de passe par e-mail.
Je comprends mal pourquoi l'envoi de mots de passe par courrier électronique est mauvais, mais honnêtement, je ne comprends pas pourquoi dire un mot de passe à quelqu'un sur un téléphone serait mieux. En supposant que j'ai 0% de chances de changer leur politique (je n'ai vraiment aucune chance), pourquoi le fait de dire à quelqu'un un mot de passe par téléphone est-il plus sûr que le courrier électronique?
Je me concentre principalement sur la capacité du téléphone/e-mail à être intercepté par un tiers, mais @Andrew a soulevé un bon point sur la permanence du courrier électronique.
Il y a d'excellentes informations dans ce Q/A , mais cette question concerne la manière la plus sûre d'envoyer des informations de connexion, alors que je pose spécifiquement des questions sur les appels téléphoniques vs sécurité des e-mails.
Les e-mails sont enregistrés quelque part, que ce soit sur un serveur de messagerie ou sur l'ordinateur personnel de quelqu'un. Les appels téléphoniques ne le sont généralement pas, sauf s'il s'agit d'un environnement orienté client.
Cette politique est courante lorsque les noms d'utilisateur et les mots de passe sont envoyés via des canaux séparés.
Peu importe les canaux tant que les paires d'authentification sont séparées et envoyées via différentes méthodes.
C'est la meilleure pratique acceptée car intercepter les deux bons canaux est beaucoup plus difficile que de regarder un seul canal pour que la paire d'authentification passe simplement.
Le raisonnement derrière cela est que les changements de mot de passe ne sont pas seulement lorsque vous oubliez un mot de passe, mais quand vous soupçonnez qu'un compte a été compromis. Pour cette raison, les changements de mot de passe sont effectués "hors bande" pour garantir que les mises à jour de mot de passe ne sont pas facilement capturées.
Dans le monde de la sécurité informatique, il ne s'agit parfois pas d'être parfaitement sécurisé. Il est acceptable d'être juste assez dur pour que les attaquants essaient ailleurs.
Les e-mails peuvent (bien que @Luc le souligne, pas toujours) être envoyés en texte brut sur Internet. Cela signifie qu'ils peuvent être enregistrés par votre fournisseur de messagerie, votre fournisseur de services Internet, le fournisseur de services Internet de votre destinataire, le fournisseur de messagerie de votre destinataire ou tout autre équipement réseau entre les deux. En tant qu'expéditeur, vous n'avez également aucun contrôle sur qui regarde par-dessus l'épaule de la personne lorsqu'elle ouvre l'e-mail.
Avec un appel téléphonique, vous avez plus de contrôle sur la vérification que vous parlez à la bonne personne, elle peut refuser de répondre si elle se trouve dans un lieu public, etc. De plus, même s'il n'y a aucune garantie que ce n'est pas enregistré, à au moins, il y a de bonnes chances - contrairement au courrier électronique qui a 100% de chances d'être dans une base de données quelque part.
Même si les e-mails et les conversations téléphoniques sont enregistrés, il est beaucoup plus facile de rechercher un "mot de passe" dans une base de données de messagerie que de rechercher des enregistrements vocaux.
Cependant, les meilleures pratiques indiquent qu'une et une seule personne doivent connaître le mot de passe d'un compte, et c'est la personne qui possède le compte. L'administrateur ne doit pas le savoir, ni le serveur (c'est-à-dire le mot de passe haché).
La manière habituelle de le faire serait: si le mot de passe a récemment (pour une valeur donnée de récemment) expiré, l'utilisateur peut utiliser son ancien mot de passe, mais immédiatement après s'être authentifié (avant de se connecter), il est obligé de changer son mot de passe , puis immédiatement déconnecté. Si le mot de passe a expiré il y a quelque temps, l'administrateur peut marquer le mot de passe expiré comme "récemment expiré" pendant une courte période - (par exemple 10 minutes). L'administrateur n'a pas besoin de savoir ce qu'est ce mot de passe. Si l'utilisateur a oublié son mot de passe, l'administrateur peut émettre un mot de passe de courte durée (par exemple 10 minutes) qui force également le changement immédiat de mot de passe.
De plus, si un utilisateur a changé son propre mot de passe au cours de la dernière année, il doit être exempté de la modification (jusqu'à exactement 1 an après sa dernière modification).
La théorie selon laquelle un mot de passe doit être changé une fois par an est également extrêmement douteuse, dans la plupart des cas - si un mot de passe est compromis, il est généralement exploité au maximum immédiatement. Donner seulement à un attaquant "seulement" 6 mois d'accès (en moyenne) semble assez inutile (ou "seulement" 6 jours d'ailleurs). Cela suggère une authentification à 2 facteurs, le deuxième facteur étant unique à chaque fois (Google Authenticator, OTP, OPIE, challenge-response, etc.), si la ressource mérite d'être protégée.
Un administrateur ne doit pas connaître le mot de passe d'un utilisateur, si cela peut être évité. Si nécessaire, ils devraient avoir la possibilité de devenir un autre utilisateur avec leur propre mot de passe, qui est ensuite écrit dans un journal d'audit. Ceci est particulièrement important s'il existe plusieurs niveaux "d'administrateur" (c'est-à-dire s'il y a des personnes qui peuvent changer les mots de passe, mais sans affecter le journal d'audit).
Les obscurcissements mineurs (tels que la sécurité par audio, image, etc.) sont dangereux, car ils favorisent la complaisance sans sécurité.
Dans un système sécurisé, les mots de passe fournis par l'informatique ne doivent être que temporaires, à usage unique, des chaînes aléatoires, de sorte que l'utilisateur doit immédiatement les saisir et les changer en leur nouveau mot de passe secret. Le service informatique ne doit jamais connaître ni transmettre le "vrai" mot de passe d'un utilisateur.
Les utilisateurs doivent être vérifiés avant la réinitialisation et cela est beaucoup plus facile à faire par appel vocal, poser une question, obtenir une réponse, c'est fait.
Même si la temp. le mot de passe est entendu lors d'un appel, il n'y aura pas de temps pour l'utiliser. Cependant, les e-mails sont parfois négligés pendant un certain temps avant d'être lus, ce qui donne à un attaquant la possibilité de faire de son mieux.
En outre, un appel vocal enregistré peut être utilisé pour identifier si un utilisateur a été usurpé d'identité plus tard, alors que vous ne pouvez pas dire qui a regardé un écran de messagerie ouvert ou un serveur de messagerie distant.
Mes 10 années d'expérience sont dans un environnement d'institution financière, donc ce niveau de sécurité peut ne pas être économiquement justifié si les besoins de sécurité sont moins stricts. Le paiement des organismes informatiques coûte cher et la plupart des systèmes/applications utilisent de toute façon une sécurité basée sur le Web, de sorte que les jours de réinitialisation du mot de passe informatique par la voix sont numérotés dans tous les cas.
La sécurité d'un e-mail est difficile à établir. L'e-mail est très probablement conservé dans les archives (il y a même certaines réglementations pour certaines entreprises). Envoyer un mot de passe dans un e-mail est donc une mauvaise idée de ce point de vue. Une interception d'e-mails pourrait également se produire.
Le téléphone, d'autre part, est moins susceptible d'être enregistré, mais une interception ou un enregistrement téléphonique pourrait exister. Ce n'est donc pas une si bonne idée. J'ai lu un commentaire selon lequel les lignes terrestres sont plus difficiles à exploiter que les systèmes informatiques - je ne suis pas d'accord. Enregistrer une ligne téléphonique traditionnelle est beaucoup plus simple que de pirater un serveur distant. Les téléphones VOIP nécessitent une nouvelle technique mais pas trop difficile non plus - branchez un concentrateur, connectez votre PC à un port du concentrateur, et vous avez maintenant une copie de tous les paquets, et le logiciel de décodage VOIP abondent. Il est probablement plus difficile d'intercepter un signal de téléphone portable, mais je ne sais pas, je ne l'ai pas fait.
Un avantage (peut-être perçu) de l'utilisation du téléphone par e-mail est l'assurance que vous donnez le mot de passe à la personne à laquelle vous voulez le donner. En tant qu'administrateur système moi-même, qui doit réinitialiser les mots de passe, c'est quelque chose que je peux attester. Si vous envoyez un e-mail, vous ne savez pas vraiment qui est à l'autre bout. Il peut s'agir d'un e-mail usurpé, d'un compte piraté, etc. Si vous connaissez la personne, vous pouvez reconnaître sa voix. Vous pouvez poser quelques questions pour vérifier l'authenticité (vous pouvez aussi le faire par e-mail mais il y a un sentiment de sécurité lorsque vous le faites par téléphone).
Maintenant, avoir un administrateur défini un mot de passe et qui reste le mot de passe et ne pas laisser l'utilisateur définir son propre mot de passe est vraiment une mauvaise pratique à mon avis en raison de ces facteurs, le mot de passe doit maintenant être transmis et tout ce qui sera transmis sera le mot de passe pour toujours après.
Y a-t-il plus dans la politique? Dans de nombreuses organisations, ils donneront un nouveau mot de passe par téléphone, mais ils doivent connaître la voix des personnes et répondre à une question (qui est votre patron, à quand remonte votre dernier examen).
Il est quelque peu similaire à un processus d'authentification multifacteur.
La logique que j'utilise lorsque j'insiste pour utiliser le téléphone ou le texte pour envoyer le mot de passe est le fait qu'il s'agit d'un deuxième canal.
Même avec toutes les insécurités détaillées ci-dessus des e-mails, si l'e-mail a été envoyé avec uniquement le mot de passe, il n'y a pas suffisamment d'informations pour une utilisation malveillante. Cependant, si vous interceptez un e-mail qui a une signification similaire à "Votre mot de passe pour le compte xxx sur le service yyy a été changé en zzz", vous avez tout ce dont vous avez besoin pour accéder au compte.
Le principal inconvénient d'un appel téléphonique est que les appels téléphoniques sont toujours susceptibles de attaques d'ingénierie sociale , où un appelant peut cajoler une personne de confiance pour lui donner accès
Au téléphone, j'ai sélectionné un menu automatisé pour "obtenir de l'aide pour me connecter à mon compte". La représentante du service client, Christine, était très sympathique et m'a demandé mon adresse e-mail et personnelle afin de travailler avec moi pour accéder à mon compte.
Je pense que nous avons trouvé notre problème… Christine n'avait besoin que de ces deux informations pour me connecter à mon compte? Pas de mot de passe? Pas de téléphone portable? Aucune autre information? Qu'est-ce qui empêche quelqu'un de trouver mon adresse e-mail et mon adresse personnelle dans une base de données et d'appeler pour reprendre mon compte?
Donc, personne ne peut flairer votre e-mail (potentiellement non crypté), mais tout ce dont j'ai besoin est son numéro de téléphone et un peu d'informations sur vous et je pourrais le faire
Bonjour, voici Chris Cirefice. J'ai de nouveau perdu ma connexion VPN. Je pourrais jurer que je l'ai écrit, pouvez-vous m'en donner un nouveau? Wow, ce serait génial, laissez-moi obtenir un stylo et du papier ...
Pour le moment, il est beaucoup plus facile d'intercepter un e-mail. Cela peut changer à l'avenir, mais pour l'instant:
- Les e-mails sont conçus pour être stockés pendant des périodes arbitrairement longues. Vous pouvez vous attendre à ce qu'au moins un, sinon plusieurs serveurs enregistrent toutes les données.
- Les e-mails sont plus faciles à traiter. L'identification des e-mails contenant des mots de passe est relativement facile. Les identifier dans les appels téléphoniques est plus difficile. Si un adversaire écoute, il sera évidemment trivial de capturer le mot de passe. Cependant, l'écoute nécessite plus de ressources.
- À un moment donné, l'IA va rendre cela beaucoup plus facile. Mais cela ne semble pas être le cas pour le moment.
Cela dépend vraiment de votre modèle de menace. Quelle est la valeur de ce mot de passe? Je suppose que les informations bancaires d'un milliardaire seraient mieux protégées que cela, ou les informations classifiées, mais plus elles sont petites, plus les ressources investies pour obtenir les informations commencent à avoir de l'importance.
Il existe plusieurs bonnes réponses pour expliquer pourquoi l'envoi de Password = -value- dans un e-mail est mauvais.
MAIS
Personne ne mentionne que si le mot de passe est assez simple pour être facilement communiqué par la voix, il n'est probablement pas assez complexe pour être efficace et le destinataire va probablement écrire sur un morceau de papier ...
Connexes XKCD # 936: mot de passe complexe court ou longue phrase de passe du dictionnaire?