<br><div class="gmail_quote"><br>Hi,<br><br>do you have recommendations for first time credentials of a newly migrated system?<br><br>Thanks and Regards,<br><br>Junior<div><div></div><div class="h5"><br><br><div class="gmail_quote">
On Tue, Feb 1, 2011 at 1:59 AM, James Manico <span dir="ltr"><<a href="mailto:jim@manico.net" target="_blank">jim@manico.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div bgcolor="#FFFFFF"><div>Juan is expressing current best practice. A very reasonable risk posture. </div>

<div><br></div><div>I was also impressed with some of the ideas in : </div><div><br><a href="http://www.fishnetsecurity.com/Resource_/PageResource/White_Papers/FishNetSecurity_SecureForgotPassword.pdf" target="_blank">http://www.fishnetsecurity.com/Resource_/PageResource/White_Papers/FishNetSecurity_SecureForgotPassword.pdf</a></div>


<div><br></div><div>... Takeaway: avoid email and either ask a lot of questions to allow for the reset, and/or possibly use a cell phone as a second factor. Email is inherently plaintext and insecure.</div><div><br></div>


<div>-Jim Manico<div><a href="http://manico.net" target="_blank">http://manico.net</a></div></div><div><div></div><div><div><br>On Jan 31, 2011, at 11:19 AM, "Calderon, Juan Carlos (GE, Corporate, consultant)" <<a href="mailto:juan.calderon@ge.com" target="_blank">juan.calderon@ge.com</a>> wrote:<br>


<br></div><div></div><blockquote type="cite"><div>

<div dir="ltr" align="left"><font size="2" color="#0000ff" face="Arial"><span>From my point of view you have it pretty much all 
covered. my personal process is</span></font></div>
<div dir="ltr" align="left"><font size="2" color="#0000ff" face="Arial"><span></span></font> </div>
<div dir="ltr" align="left"><font size="2" color="#0000ff" face="Arial"><span>Generate a temporary token (30 min to 1 day max). So 
email will be useless after that period in case the computer or user email is 
compromised</span></font></div>
<div dir="ltr" align="left"><font size="2" color="#0000ff" face="Arial"><span>Send a HTTPS link to user with the temp token. Avoid 
wire sniffing</span></font></div>
<div><font size="2" color="#0000ff" face="Arial"><span>The 
end user will have answer a challenge question (one of at least 2 entered on 
registration) and then reset its password. Supply an identity element, in this 
case challenge response instead of previous password and reset password as it 
should be in hash or salted hash format thus not reversible nor displayable to 
user.</span></font></div>
<div><font size="2" color="#0000ff" face="Arial"><span>Request for password reset and password reset success 
should be notified to user via registered email</span></font></div>
<div><font size="2" color="#0000ff" face="Arial"><span></span></font> </div>
<div><font size="2" color="#0000ff" face="Arial"><span>This 
approach implies users register themselves, also, if your site is not public but 
corporate level and contains sensitive information, I strongly recommend you 
also add a manager authorization step to keep accountability for system accesses 
granted.</span></font></div>
<div><font size="2" color="#0000ff" face="Arial"><span></span></font> </div>
<div><font size="2" color="#0000ff" face="Arial"><span>As 
everything in security the approach is not perfect, but I think is good enough 
due to limited time window and measures taken to avoid disclosing the 
password.</span></font></div>
<div><font size="2" color="#0000ff" face="Arial"><span></span></font> </div>
<div><font size="2" color="#0000ff" face="Arial"><span>Regards,</span></font></div>
<div><font size="2" color="#0000ff" face="Arial"><span></span></font><b><span lang="en-us"><font size="2" color="#000080" face="Arial">Juan C Calderon</font></span></b><span lang="en-us"></span><span lang="es-mx"><br>
</span></div>
<div><font size="2" face="Arial"></font> </div><br>
<div dir="ltr" align="left" lang="en-us">
<hr>
<font size="2" face="Tahoma"><b>From:</b> <a href="mailto:websecurity-bounces@lists.webappsec.org" target="_blank">websecurity-bounces@lists.webappsec.org</a> 
[mailto:<a href="mailto:websecurity-bounces@lists.webappsec.org" target="_blank">websecurity-bounces@lists.webappsec.org</a>] <b>On Behalf Of </b>Milton 
Smith<br><b>Sent:</b> Monday, January 31, 2011 10:00 AM<br><b>To:</b> 
<a href="mailto:websecurity@lists.webappsec.org" target="_blank"></a><a href="mailto:websecurity@lists.webappsec.org" target="_blank">websecurity@lists.webappsec.org</a><br><b>Subject:</b> [WEB SECURITY] First time 
login and password resets...<br></font><br></div>
<div></div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;">Hello,</div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;"><br></div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;">Wondering what everyone does to communicate first time credentials or 
password resets to users.  There are two challenges.</div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;"><br></div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><ol style="font-size: 14px; font-family: Calibri,sans-serif;">
  <li>Ensure person we communicate credentials to is the correct person (e.g., 
  owner of credentials)
  </li><li>Do not disclose credentials in plain text over network</li></ol><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;">To a certain extent the computer has not helped us with these challenges. 
 Simply reverting to phone does not solve these challenges either. 
 For example, calling a user with their new credentials is similar to 
mailing the credentials in the clear.  It's likely IT staff does not know 
the person on the other end of line and phone conversations can be 
intercepted.</div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;"><br></div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;">The solution I have been considering is to email an HTTPS link to users. 
 Next, mandatory password reset at logon.  This prevents sniffing 
credentials over net.  Of course, you can sniff the URL then login. 
 However, if this is done it will be obvious to the user since they will 
not be able to logon with the password they were sent.  A bit after the 
fact I realize but perhaps better than nothing.  Next, what if I made the 
link so it's only good for 10 mins or some limited window.  This helps 
limit the window of opportunity.  Anyway, this solution is not perfect but 
perhaps better than passwords in the clear or calling people we don't know. 
 Key fobs, other hardware solutions, or client side certs are likely out 
since it's a cloud based solution.</div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;"><br></div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;">Do you have any interesting thoughts or suggestions for how you approached 
these challenges?</div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;"><br></div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;">Kind Regards,</div><span style="font-size: 14px; font-family: Calibri,sans-serif;">
</span><div style="font-size: 14px; font-family: Calibri,sans-serif;">Milton Smith</div>
</div></blockquote></div></div><blockquote type="cite"><div><span>_______________________________________________</span><br><span>The Web Security Mailing List</span><br><span></span><br><span>WebSecurity RSS Feed</span><br>

<span><a href="http://www.webappsec.org/rss/websecurity.rss" target="_blank">http://www.webappsec.org/rss/websecurity.rss</a></span><br>
<span></span><br><span>Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank"></a><a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a></span><br>


<span></span><br><span>WASC on Twitter</span><br><span><a href="http://twitter.com/wascupdates" target="_blank">http://twitter.com/wascupdates</a></span><br><span></span><br><span><a href="mailto:websecurity@lists.webappsec.org" target="_blank">websecurity@lists.webappsec.org</a></span><br>


<span><a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a></span><br></div></blockquote></div>


<br>_______________________________________________<br>
The Web Security Mailing List<br>
<br>
WebSecurity RSS Feed<br>
<a href="http://www.webappsec.org/rss/websecurity.rss" target="_blank">http://www.webappsec.org/rss/websecurity.rss</a><br>
<br>
Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a><br>
<br>
WASC on Twitter<br>
<a href="http://twitter.com/wascupdates" target="_blank">http://twitter.com/wascupdates</a><br>
<br>
<a href="mailto:websecurity@lists.webappsec.org" target="_blank">websecurity@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br>
<br></blockquote></div><br><br clear="all"><br></div></div><font color="#888888">-- <br>Look and smile to the world and let the world smile to you<br>
</font></div><br><br clear="all"><br>-- <br>Look and smile to the world and let the world smile to you<br>