This question has been brought up a couple of times since our update on Friday, and is actually a great and perfectly valid question to ask. Please feel free to link others to this post if you see the same question show up elsewhere.
Very early on in our brainstorming process for the new website, we had originally planned to have everyone simply log in through their email rather than username in order to address the numerous security concerns that had arisen time and again due to how vBulletin is currently using your login username publicly. The email is private, so it makes sense to use... ...right?
Im Prinzip wäre die E-Mail-Adresse ein valider Kandidat für den Login-Namen, wenn man davon ausgeht, dass sie privat sei. Die Entwickler hatten auch erst darüber nachgedacht der Einfachheit halber auf die E-Mail als Login zu setzen, sich dann aber anders entschieden. Nachfolgend geht Zane, der Web Entwickler bei CIG, auf die Gründe ein die dagegen sprechen.
...Here is basically why we've since decided against that:
When mapping out the security requirements for a large scale site — or any site for that matter, you not only have to consider the mechanisms you're putting in place to protect your own site (e.g. SSL, SQL injection, strong hashing algs., XSRF prevention, etc., etc.), but you also have to be concerned with what happens when hackers compromise and gain a hold of data on completely external sites and/or unrelated attacks. You may not realize it, but there are a very large number of sites — even large-scale ones that don't take nearly as much care as they should in keeping your data safe and secure, which leads them to implement very poor security practices in development that eventually enables such attacks to take place, and a lot of times with minimal effort.
Wenn man eine Webseite entwickelt muss man sich mit allerlei Angriffsvarianten auf seine Seite beschäftigen und geeignete Gegenmaßnahmen oder Vorkehrungen treffen. Zane nennt SSL, SQL Injection Schutz, starke Hash-Algorithmen und einiges mehr. Leider gibt es aber unzählige Seiten, auch professionell betriebene, die sich mit solchen Themen überhaupt nicht auseinander setzen und damit Angriffen Tür und Tor öffnen. Meist sind diese Seiten so schlecht programmiert, dass es nur wenig Aufwand benötigt, die gesamte Datenbank auszulesen.
It happens to be a trend that more and more websites are using your email address as part of your login credentials, with the other of course being your password (think perhaps when paying your bills online for your utilities, or even Facebook...). This is because the advantage this offers to the website is that on the end-user's perspective, it's easier to remember, especially when it clearly states to login using your email. This, in turn, results in a reduced amount of customer-support tickets that are generated and need to be processed by the website.
Es ist wie schon von mir beschrieben ein Trend, dass die E-Mail-Adresse als Login-Name verwendet wird. Damit gibt es für den Betreiber der Webseite einige Vorteile. Für die Nutzer ist es wesentlich einfacher sich ihre E-Mail-Adresse zu merken, als einen beliebigen Benutzernamen. Dadurch gibt es weniger Supporttickets und weniger Aufwand für den Betreiber.
Tying the above two paragraphs together, it turns out that it can be used as an attack vector whereby attackers take compromised data from a completely separate unsecure/cleartext database and use the email and password combinations against your website's login to gain unauthorized access to accounts. The reason is that an email address is a constant and unchanging piece of data that is normally tied to you and only you as an account holder across a multitude of sites. It is likely that a user would also reuse the same password across different sites for the sake of remembrance. From an attacker's perspective, the email serves as more reliable non-password credential to use on a website where the email is used as the login ID. Perhaps you could argue that the same holds true for actual usernames, but they tend to be more variable across sites and aren't as reliable for an attacker to use, plus they're easier for a user to change because it's arbitrary and not directly linked to something functional like an email account.
Verbindet man nun die oberen beiden Paragraphen, dann wird das Problem offensichtlich. Viele Menschen haben eine E-Mail-Adresse und verwenden diese auf zich Seiten. Es ist vollkommen ausreichend für einen Angreifer eine einzige Seite zu hacken, um an das Passwort zu kommen. Dann stehen ihm in fast allen Fällen die Türen zu allen anderen Webseiten dieses Nutzers offen. Das Hauptproblem ist, dass die E-Mail-Adresse eine konstante für diesen Menschen darstellt, die er überall verwendet. Auf der anderen Seite werden Login-Namen statistisch gesehen wesentlich häufiger gewechselt.
Furthermore, there are many cases where your email is displayed publicly on accounts and profiles you have on other sites or through your own doing (Facebook, personal site, etc.). Say you're on Facebook, or another gaming-related site that happens to publicly list your email and you're talking about Star Citizen... someone can extrapolate that as one half of the credentials you need to log into RSI and sign-into Star Citizen itself.
While the cases I've described may seem extreme, they do happen. You hear news stories of large databases being compromised all the time, and so being aware of how incompetent some other sites can be with respect to security, you can fold that into what you decide to implement on your own site, and in our case, the upcoming RSI site... because security is certainly of utmost importance to us, and is made apparent in how we shaped the naming solution in the latest comm-link post. Also, we did not yet mention, but we are also looking into implementing 2-factor authentication into the new site, which will be adding another layer of account security.
Zane
Aber es muss nicht mal zu einem Hacken einer Seite kommen. Oft reicht es einem Angreifer schon die E-Mail-Adresse einfach auf Seiten wie Facebook nachzulesen. Den Entwicklern ist natürlich klar, dass solche Fälle nicht sehr oft auftreten, aber es passiert immer wieder, dass jemand durch eine Sicherheitslücke auf einer unbeteiligten Seite auf einmal sein Google- oder noch schlimmer Amazon-Account übernommen wird.
Ich hatte es Eingangs schon geschrieben, dass ich diese Entscheidung für absolut richtig halte! Als dieser ganze Wahn mit den E-Mail-Adressen als Login-Name losging - mir ist es als erstes bei World of Warcraft aufgefallen - habe ich nach und nach immer mehr E-Mail-Adressen angelegt, die einzig dafür da sind als Login-Namen für relevante Seiten wie Ebay, Amazon, Paypal usw. zu dienen.
Quelle: RSI Forum
Keine Kommentare:
Kommentar veröffentlichen