Patologie - nasz orange, moj orange, ustaw.orange.pl
Doprowadzić moj.orange.pl do zgodności ze standardem OWASP ASVS 4.0.1 czyli m.in.
- nie przechowywać historii haseł i( nie branie pod uwagę tego kryterium przy ustawianiu nowego hasła)
- uporządkowanie patologicznego zamieszania z innym logowaniem do nasz.orange.pl i moj.orange.pl
a) kroki w procesie przypomnienia hasła błędnie sugerują użycie zarówno emaila, loginu jak i numeru usługi (do mój orange np. działa tylko login inny niż email)
b) przypomnienie hasła do moj.orange.pl przychodzi z adresu noreply@orange.com w tytule "Nowe hasło do serwisu Orange" a przypomnienie hasła do nasz.orange.pl na email przychodzi z rejestracja@orange.com a w tytule jest orange.pl
c) poprawienie formatek logowania tak aby było jasne co wpisywać, najlepiej zapewnienie jednych poświadczeń do jednego i drugiego serwisu
d) wprowadzenie 2FA do Mój Orange bądź zamaskowanie na stałe numeru dowodu
e) usunięcie cenzury na nasz.orange.pl - obecnie wygwiazdkowywane jest choćby słowo wstyd w s t y d
Przywrócić ustaw.orange.pl na ktorym mozna bylo wyslac sobie konfiguracje na telefon. Obecna forma jest bezuzyteczna i skrajnie frustrujaca. Brak informacji o APNach ipv6 i ipv4 dla telefonow.
f) usunięcie blokowania konta po 5 nieudanych próbach, reset hasła powinien odblokowywać możliwość logowania
g) skonstruować formularze w sposób przyjazny dla menedżerów haseł pod kątem wypełniania (np. na nasz.orange.pl bitwarden nie jest w stanie wypełnić loginu)
27-02-2020 w Pomysły
1
Otwarty
2
Realizowany
3
Zrealizowany
Nasz Orange to forum dedykowane do pomocy użytkownikom usług tej sieci, więc nie przejdzie bez moderowania.
W przypadku strony: ustawa.orange.pl już kilkakrotnie były pomysły jak i tematy na NO. Co chwila ktoś ma problem z konfigurowaniem swojego telefonu i w tej sprawie nic się więcej nie zmieniło.
Z odblokowaniem konta po przez odzyskanie hasła, odpowiada mi takie rozwiązanie :catwink:
Pozostałe sprawy uważam, że powinny zostać poprawione :catwink:
Pomysł populistyczny. Z jednej strony proponujesz by Orange nie przechowywało historii haseł, a z drugiej proponujesz wsparcie dla menedżerów haseł. Gdzie to bezpieczne?
Co do cenzury na forum - napisz do kogoś z administracji - może jakieś słowo klucz jest błędnie w cenzorze. Obecnie polskie prawo nakazuje filtrować treści więc jego realizacji się nie spodziewaj. Podobne cenzory są standardem na innych tego typu serwisach.
Obecnie różne mechanizmy logowania wynikają z tego, że jest okres przejściowo. Docelowo większości mechanizmów nie będzie docelowo i to już oczekuje na realizację.
Gdzie tu populizm? Co ma jedno do drugiego? Co jest niebezpiecznego w menedżerze haseł? To chyba dobrze że mam go używać szczególnie że brak 2FA?
O historii haseł poczytaj tu, rozumiem że wiesz lepiej niż NIST sp800-63b sekcja
5.1.1.2 Memorized Secret Verifiers