Безопасность SMS и электронной почты

Question

В моем веб-приложении java, когда администратор добавляет пользователя, моя система генерирует случайный буквенно-цифровой строковый ключ активации длиной 12.

Этот ключ делится на 2 части, каждая длиной 6. Одна часть ключа активации отправляется через мобильный телефон пользователя с помощью SMS, а вторая часть отправляется по электронной почте на электронный адрес пользователя.

Мне сказали, что SMS и электронная почта могут быть легко взломаны, поэтому, если вы отправляете свой ключ активации через SMS и электронную почту, хакер может легко получить его.

• Что я должен сделать, чтобы решить эту проблему?

• Безопасны ли SMS и электронная почта?

• Могу ли я использовать стороннюю систему безопасности?

• Как другие веб-сайты отправляют свою электронную почту и SMS?

В настоящее время моя система отправляет SMS с помощью Way2SMS-API и отправляет электронную почту с помощью gmail.

Answer 1

Электронная почта легко (относительно) взломать, так как сообщения отправляются обычными и могут быть направлены через множество неизвестных серверов.

СМС сложнее, но не невозможно.

Однако сочетание SMS и электронной почты с указанием срока действия (т. Е. Необходимо завершить вход в систему за 24 часа) следует считать достаточно безопасным для большинства целей.

Answer 2

Простой подход для решения этой проблемы - ввести защищенный токен, пока оригинальный HttpSession в вашем веб-приложении все еще активен.Таким образом, даже если хакер перехватит ваше сообщение, он не сможет его использовать, поскольку сеанс принадлежит пользователю (например, сгенерированный токен хранится в атрибутах сеанса, поэтому вы можете сравнить их, когда пользователь введет их в веб-интерфейс).Тогда единственный способ перехватить это - использовать «человека в средней атаке», но его можно победить, используя https.

Другой подход - показать пользователю часть ключа, поэтому онповторно ввести его вместе с частью, которую он получит по электронной почте.Таким образом, даже если хакер похитит это письмо, он не сможет узнать, что было показано пользователю во время создания письма.

Answer 3

Ну, вы можете использовать Md5 и отправить половину сообщения по смс, а половину - по электронной почте, а затем проверить его по хеш-значению зарегистрированного пароля и, если это правильно, разрешить им регистрироваться, в противном случае не позволяйте им регистрироваться. Тем не менее, это предполагает, что только один из двух (электронная почта / SMS) будет взломан. В противном случае, если они получат оба, это победит цель.

@ Юджин Это хорошая идея, лол, я не думал об этом. ^. ^