Esiste il rischio di inviare il nome utente in un'email di reimpostazione della password?

8

Stiamo utilizzando un CMS che ha una funzione di reimpostazione della password che funziona secondo le migliori pratiche disponibili.

  • Le password vengono memorizzate come hash salati
  • La password dimenticata funziona così:
    • L'utente inserisce il nome utente o l'indirizzo e-mail nella casella di testo
    • Il sistema genera un'e-mail con un link "reimposta password"
    • L'utente ha x quantità di minuti per seguire il link e reimpostare la password, oppure è disabilitata.

(Nota a margine, vorremmo aggiungere l'autenticazione a due fattori e la società che sviluppa questo CMS sta lavorando per fornirlo, ma fino ad ora non è disponibile.)

Facoltativamente, possiamo includere il nome utente nell'e-mail nel caso in cui l'utente abbia dimenticato il proprio nome utente.

L'inserimento del nome utente nell'email di reimpostazione della password comporta un ulteriore rischio per la sicurezza?

Chiaramente è un'altra informazione che un utente malintenzionato ha in mano, ma a dire il vero, se un utente malintenzionato riesce a intercettare questa email, può già fare clic sul primo collegamento per accedere come utente, quindi non vedo davvero un rischio in più. Mi sto perdendo qualcosa?

    
posta David Stratton 20.06.2013 - 16:00
fonte

2 risposte

15

No, non ci dovrebbero essere assolutamente rischi per la sicurezza con questo approccio.

I nomi utente sono informazioni pubbliche e devono essere trattati come tali.

Modifica

@Polynomial ha sottolineato un fatto fondamentale che ho tralasciato. Il mio consiglio non si applica se il nome utente in questione è un pezzo di informazioni sensibili come un numero SS.

    
risposta data 20.06.2013 - 16:01
fonte
0

Questo non rappresenta un rischio significativo per la sicurezza, sebbene aumenti leggermente la superficie di attacco. È probabile che il guadagno in termini di usabilità rispetto a quello consentito superi di gran lunga il rischio minuscolo.

Tuttavia, è utile notare che un utente malintenzionato potrebbe ottenere due cose se fosse in qualche modo in grado di intercettare un sacco di e-mail di ripristino:

  • L'autore dell'attacco potrebbe creare un elenco di nomi utente validi per indirizzare meglio gli attacchi bruteforce o di compleanno sul tuo sito.
  • L'utente malintenzionato potrebbe utilizzare il token di ripristino che hai inviato via email all'utente, oppure una password temporanea o altro.

Il secondo di questi aumenterebbe il rischio solo se all'utente fosse richiesto di fornire il proprio nome utente durante l'accesso, e comunque i nomi utente sono spesso indovinabili dagli indirizzi email.

Inoltre, nessuno di questi è un problema fino a quando un utente malintenzionato può curiosare sulla tua e-mail in uscita, il che potrebbe essere un problema di per sé. Tuttavia, la consegna SSL / TLS può aiutarti a prevenire questo.

    
risposta data 27.11.2013 - 09:44
fonte

Leggi altre domande sui tag