Nel nostro modulo di ripristino della password dimenticata, è corretto rilevare che un dato indirizzo e-mail inserito non è valido? Oppure dovremmo sempre restituire il successo e controllare la posta elettronica, anche se l'e-mail non è valida.
Ho l'impressione che restituire sempre il successo possa fornire un'esperienza utente negativa, ad esempio se un utente sta tentando di ricordare quale e-mail ha utilizzato per il servizio.
Non direi che è una brutta esperienza chiedere all'utente di controllare il proprio account di posta elettronica - quella sarebbe la posizione in cui si aspetteranno di andare a quella successiva, a prescindere. Se non si sono registrati, è possibile inviare loro un'e-mail dicendo che il loro indirizzo email non è associato a nessun account. Ciò impedirebbe a qualsiasi altro utente di verificare se l'indirizzo e-mail è registrato con te o meno ( enumerazione del nome utente ).
Vedi anche la mia risposta qui: Come impedire la scoperta della posta elettronica nei moduli? , che potrebbe essere rilevante.
Chiaramente la preoccupazione qui è la possibilità di un utente malintenzionato di enumerare gli indirizzi e-mail degli utenti esistenti provando ogni possibile combinazione e vedendo cosa funziona, o forse il rischio di rivelare in modo errato che un determinato indirizzo è associato a un utente.
Ci sono alcuni modi per farlo e il metodo "password dimenticata" è solo uno. Un altro è tentare di iscriversi usando l'indirizzo email di qualcun altro e vedere se è rifiutato. E a seconda dell'applicazione, potrebbero esserci molte altre tecniche simili.
Il rischio è molto basso, in quanto le informazioni che ottieni non sono in genere molto utili. Poiché tutto ciò che si ottiene è una risposta "sì / no" (ad esempio, se non si recupera il nome utente o l'ultimo IP noto, ad esempio), sarebbe difficile sfruttare questa conoscenza in un altro attacco. Ma forse non sempre impossibile.
Tuttavia, in molte applicazioni penso che sarebbe considerato un rischio accettabile per gli utenti in cambio di un po 'di facilità d'uso nella schermata della password dimenticata, assumendo che si prendano alcune precauzioni ragionevoli.
Ovviamente, limitazione della velocità sarà fondamentale. Dovresti farlo già. Se una persona prova questo più di un paio di volte in un breve periodo, dovresti rallentarle. E forse se persistono, dovresti farli fermare e chiamarti invece.
Un'altra possibilità è captcha - non sono perfetti, ma sicuramente rendono l'automazione più difficile.
E un altro richiede più informazioni oltre al semplice indirizzo email. Forse hanno bisogno di fornire sia il loro indirizzo e-mail e il loro codice postale o il cognome o pokemon preferito. Ovviamente questo apre la minima possibilità di abuso in modo tale che un utente malintenzionato possa usare il tuo servizio per collegare gli indirizzi email ai pokemon preferiti, ma un tale attacco sarebbe probabilmente troppo costoso per valerne il tempo, specialmente se includi la mitigazione di cui sopra. / p>
È sicuramente un problema di divulgazione di informazioni. La domanda è se è un grosso problema o no. App interne eventualmente no. Rivolto su Internet forse a seconda di cosa fa l'app. Dipende da te o da chiunque / qualunque cosa tu stia proteggendo. Questo è anche legato alla divulgazione della registrazione. Se provi a registrarti per un account con la stessa email ecc.
La mia preferenza personale è di visualizzare un messaggio sulla falsariga di "Ti invieremo un'email a [qualunque cosa] se abbiamo l'indirizzo email registrato".
Penso che dovresti dire all'utente che la sua e-mail non è valida, se dici sempre "successo" non sapranno mai se la reimpostazione della password è ok o meno, e quindi, smetteranno di provare al primo tentativo . Ovviamente un utente malintenzionato potrebbe utilizzarlo per scoprire le email.
Penso che la migliore soluzione qui sia quella di reimpostare la password con "Login" e "Indirizzo email".
Se l'utente mette in errore Login o / e Indirizzo email, viene visualizzato solo un messaggio ' Incorrect Info , check Login/email' .
Non dire se l'accesso o l'e-mail sono sbagliati, quindi non ricorrere al primo problema di sicurezza.
Leggi altre domande sui tag passwords password-policy