主页
看看
说说
主页
说说
看看
登入
注册
首页
提问
分享
建议
讨论
公告
动态
其它
发表新帖
初始密码通过短消息发送,会有什么安全问题么
讨论
未结
10
54
rocksolid
会员
2022年12月6日 05:14
发表
打开或者下载
APP,畅享极致体验
收藏(
0
)
分享
相关标签:
灌水交流
注意:本文归作者所有,未经作者允许,不得转载
10个回复
dddd1919
会员
2022年12月6日 05:14
可能会被有短信权限的 app 读到,如果为了用户能快速登录,用户首次登录最好引导用户设置一个新密码
0
0
评论
hicdn
会员
2022年12月6日 05:47
不用密码,用短信验证码登录安全性都比用短信发初始密码强。 万一短信服务商的某个员工看了发送日志,用户又没修改密码,手贱就登录进去了。
0
0
评论
zooo
会员
2022年12月6日 05:47
发送初始密码后,首次登陆强制修改密码就好了(一个思路)
0
0
评论
IvanLi127
会员
2022年12月6日 06:44
是的,所以初始密码一般是一次性的。为了避免发送初始密码开始,到用户上线修改密码这段时间被他人登录,所以得让用户手动请求,再发送这个一次性临时密码。为了识别用户,较少他人误获取这个一次性临时密码,所以申请获取时要求填写完整或部分手机号用来验证当前用户是否是系统的注册用户。最后就成了发短信验证码改密了。。。 所以初始密码用短信发送安全问题还挺多。
0
0
评论
lisxour
会员
2022年12月6日 06:44
一般发送的是一次性临时密码,只能登陆一次,且登陆后必须更改密码
0
0
评论
815979670
会员
2022年12月6日 06:44
不如发短信告诉用户初始化成功,首次登陆使用短信验证码 且在登录之后修改密码
0
0
评论
rocksolid
会员
(楼主)
2022年12月6日 07:16
验证码必然有的,密码加验证码,关键是初始密码通过短信是不是会有安全问题
0
0
评论
leoleoleo
会员
2022年12月6日 07:16
这个场景下,前提是用户本身并不会有足够的安全意识,接下来需要关注的几个问题。一是密码泄露的可能性(比较大概率的几个途径,比如你发送短信的业务本身的日志、短信渠道商的系统和用户手机终端本身) 二是密码泄露后产生影响的持续性(这个密码是永久的,还是有时效的,还是一次性的。) 三是如果真的出现泄露,影响的范围和利用的成本。(可以影响多广的范围以及自动化利用的难度是否比较大)四是这个方式的用户体验。 作为安全工程师的个人建议:发送有时间有效性限制的密码设置链接(有条件的,不同短信渠道,后台做一个标记),且链接使用后立即失效。这样子的益处是:不直接发送密码,泄露后无法直接登录利用,提高自动化利用的成本,而且解决了强制用户修改密码的问题(密码复杂度是另外一个问题)。通过有效时间的控制和使用后立即失效,可以保证在出现泄漏的情况下,除非有极强的自动化利用手段,不然对方很难大范围的利用这个泄漏来搞破坏。如果做了不同短信渠道的标记,也能作为短信渠道信息泄漏的排查线索。 直接给用户发密码的应用或者业务,除非不得已,不然就不用。
0
0
评论
815979670
会员
2022年12月6日 07:16
我的意思是:第一次发短信,只告诉 "用户初始化成功,可以在登录时通过短信验证码登录" 这些信息,然后用户首次登陆时,临时获取验证码,且设置有效期,登录成功后修改密码。
0
0
评论
dddd1919
会员
2022年12月6日 08:15
不光是安装的 app ,手机系统也会索引短信内容,相当于对手机来说只是个普通的文本信息,而且可能会被上传上去做分析,带来的间接隐患就算不过来了
0
0
评论
回复
所在专栏
提问
分享
建议
讨论
动态
其它
阅读权限
默认,所有用户可见
LV1及以上用户可见
LV2及以上用户可见
LV3及以上用户可见
LV4及以上用户可见
LV5及以上用户可见
LV6及以上用户可见
会员专享
管理员可见
确认修改
相关帖子
香港行的一些见闻,去过没去过的都来了解下
6
Rime 输入法真是简洁啊。
4
win11 间歇性卡顿, 每十几秒卡顿半秒, 声音鬼畜, 画面不动
0
5 家公司工作了 18 年,分享些工作经验,也写给自己
0
如何看待满嘴脏话的人?
1
有偿求租 chatgpt 账号,自用应付工作不分享
0
孩子小学一年级学习跟不上,每天晚上作业写到快 12 点,今天老师给我打电话建议明年重读一年级
0
2023 年了, GoWeb 应该选择 Goframe、Gin、Beego、Iris 哪一项?
20
看隔壁邻居噪音有感,自己也遇到了楼上噪音问题,那么带降噪耳机可以解决吗?
8
使用 usb 上行线接入显示器后插入 U 盘,文件管理器没有反应
0
友情链接
聚合社区