Un link di "reimpostazione della password" dovrebbe essere valido dopo aver cambiato l'e-mail?

5

Ecco lo scenario:

Il tuo account ha più link "password reset" attivi nel mondo. Scadono dopo 24 ore e dopo aver cambiato la password.

Invece di cambiare la password, puoi modificare l'indirizzo email del tuo account. I link per la reimpostazione della password dovrebbero essere ancora validi? È un rischio per la sicurezza non invalidarli?

    
posta jdubjdub 24.04.2018 - 18:51
fonte

2 risposte

9

Direi che sì, dovresti invalidarli. Il cambio di email potrebbe essere dovuto al fatto che l'account email è stato compromesso. E non c'è nulla di male nell'invalidarli, dato che l'utente è chiaramente loggato e può richiederne un altro se ne ha bisogno.

Detto questo, è molto più importante inviare un'e-mail di verifica alla vecchia posta prima di consentire una modifica e se l'utente ha perso l'accesso, invia invece un link di annullamento valido per almeno 7 giorni (idealmente di più). Altrimenti, rischi il furto dell'account.

Infine, se supporti 2FA, non dovresti consentire di reimpostare entrambi i fattori usando solo la posta elettronica.

PS: Inoltre non dovresti permettere di cambiare la posta per un periodo di tempo dopo il reset della password.

    
risposta data 24.04.2018 - 18:56
fonte
1

Non dovresti essere in grado di cambiare il tuo indirizzo email se non conosci il parola d'ordine. Se perdi sia la password che l'accesso all'e-mail del record, sei fregato.

    
risposta data 24.04.2018 - 19:44
fonte

Leggi altre domande sui tag