Hai dimenticato la password e hai rivelato se l'account esiste [duplicato]

Naviga le tue risposte
7

Quindi quando clicchi il link per la password dimenticata e inserisci il tuo indirizzo email, sembra che i siti (e altri programmatori con cui ho parlato) siano uno di questi due modi di pensare;

  • Notifica all'utente se l'indirizzo e-mail corrisponde o meno a quello nel database e in base a ciò si consiglia di impostare o meno l'indirizzo e-mail di reimpostazione della password;
  • Rispondere immediatamente con una "Email inviata" o "Se questo utente esiste, ti abbiamo inviato una email di reimpostazione della password" indipendentemente dal fatto che o una corrispondenza si sia verificata con conseguente invio di un'email. Questo è fatto (apparentemente) per ragioni di sicurezza.

Ho implementato il secondo io stesso e in genere ho riscontrato fastidio con gli utenti a causa di;

  1. Se un utente digita il proprio indirizzo email, gli viene detto che viene inviata un'email, ma non ne riceverà mai uno.
  2. Se hanno inserito un indirizzo email diverso da quello con cui si sono registrati, di nuovo non riceveranno un'email.
  3. Una combinazione di quanto sopra può comportare più tentativi, ma nessuna ricezione di un'email di reimpostazione della password, con conseguente rinuncia.

Infine, dopo aver esaminato siti Web popolari che utilizzano il secondo scenario, ho scoperto che tentando di registrare un account con questi siti in cui l'indirizzo email inserito corrisponde a un account esistente, un "questo indirizzo email è già in uso, o "non disponibile" viene comunque visualizzato un messaggio.

In quanto tali, quali sono i vantaggi che non rivelano se una e-mail di reimpostazione della password ha trovato un account?

    
posta Stafford Williams 29.08.2015 - 03:25
fonte

6 risposte

2

Penso che questo sia generalmente dal lato sbagliato di non essere di aiuto agli utenti legittimi di siti legittimi, ma se il tuo sito promuoveva l'anonimato, dire a un utente web casuale se un particolare indirizzo email era valido sarebbe una perdita.

    
risposta data 29.08.2015 - 03:56
fonte
1

A seconda di quanto è facile iscriversi al tuo sito, potresti non riuscire a divulgare informazioni dicendo se l'email è stata inviata o meno.

Se qualcuno può creare un account, probabilmente dirà se l'e-mail è in uso o meno. Quindi, alla fine della giornata, il fastidio in più non ti offre alcuna sicurezza aggiuntiva.

Quello che non dovresti perdere sono le e-mail se gli utenti possono fornire sia il nome utente che l'e-mail. Ridurrebbe la sicurezza se avessi detto all'utente quale e-mail è stato inviato il token poiché potrebbe essere usato per ottenere l'e-mail dagli utenti se questi non sono pubblici.

    
risposta data 29.08.2015 - 09:36
fonte
1

Vale la pena considerare che rivelare se il titolare di un indirizzo e-mail specifico abbia un account sul tuo sito potrebbe essere illegale in alcune giurisdizioni. Ad esempio, qui nel Regno Unito, dovresti ottenere il consenso dell'utente prima di rivelare queste informazioni.

Una soluzione potrebbe essere quella di chiedere alcune informazioni di sicurezza più basse, ad esempio la data di nascita, il nome da nubile della madre, ecc. come parte del processo, prima di rivelare se l'account esiste.

    
risposta data 29.08.2015 - 11:00
fonte
1

Siti in cui la privacy degli utenti è più importante, Se un utente prova ad accedere con l'e-mail e una password sbagliata, è meglio non fargli sapere se l'e-mail esiste o meno. Gli basta fargli sapere che è sbagliato e potrebbe chiedere di inserisci la password con numero di cellulare / nome utente.

risposta

È rispettare la privacy degli utenti già esistenti. Altrimenti gli altri saranno in grado di sapere se un utente è registrato o meno

    
risposta data 29.08.2015 - 09:28
fonte
1

Il tuo punto sul tentativo di registrarsi e ottenere un messaggio "questo indirizzo email è già in uso" o "non disponibile" è interessante e sembra essere un punto più importante da considerare se non far sapere o meno che l'email dimenticata è stata inviato. Sembrano andare di pari passo.

Se sei disposto a mostrare il fatto che un'e-mail è già in uso e non può essere utilizzata in un account, avvisa ovviamente se è stata inviata l'email della password dimenticata.

Ma se il tuo sito richiede l'anonimato, non puoi richiedere email e ampli Unici; impedire alle persone di provare a usarne una già in uso. Invece, è sufficiente richiedere la verifica dell'email e, di default, solo il vero proprietario sarà in grado di usarlo. Potresti persino bloccarli da qualsiasi altra attività dell'account fino a quando l'email non viene verificata.

    
risposta data 30.08.2015 - 02:52
fonte
0

Per quanto mi riguarda, sul modulo di reset, non viene indicato se l'e-mail è valida o meno. Mostriamo solo che il processo di ripristino è inviato all'e-mail inviata. Quindi, il contenuto dell'email è un messaggio di posta elettronica non valido o un link di ripristino.

Tuttavia, questa tecnica può essere fastidiosa se qualcuno usa questo modulo di ripristino per inviare messaggi di posta elettronica a qualcun altro. Alcuni meccanismi di prevenzione richiesti, come limitare il numero di presentazione.

    
risposta data 29.08.2015 - 13:51
fonte

Leggi altre domande sui tag

Perché TLS 1.3 depreca i gruppi DHE personalizzati? In che modo gli hacker hanno compromesso la mia istanza EC2?