Se si ha accesso completo all'account quando si dimentica la password?

5

Immagina il seguente scenario:

  • Vado per accedere a MyApp.com, ma mi sono reso conto che ho dimenticato la mia password.
  • Richiedo una nuova password inviata alla mia email.
  • L'email arriva con un link per cambiare la password (ma non viene inviata alcuna password).
  • Cliccando sul link mi porta a una schermata di modifica della password, ma anche mi accede all'account, dandomi pieno accesso a tutte le informazioni sull'account. In effetti, non ho nemmeno bisogno di cambiare la password a quel punto.

Lo scenario sopra rappresenta comunque un rischio per la sicurezza? Se é cosi, come? E qual è il modo in cui dovrebbe essere gestito invece?

    
posta VirtuosiMedia 19.12.2011 - 23:38
fonte

1 risposta

2

Bene, parte della procedura potrebbe essere considerata non sicura: quando un utente ha accesso al proprio account di posta elettronica E sa quali siti web si possono avere account registrati (come FaceBook, Twitter, Google e il lotto). Questo è probabilmente il problema di sicurezza più semplice e più ovvio che potrebbe sorgere qui.

Potremmo anche dare un'occhiata alle domande "l'e-mail può essere intercettata in qualsiasi modo" e "è quel link di recupero usando una chiave strong, casuale o qualcuno potrebbe indovinarlo" ... ma immagino che sia eccessivo. Per il normale scenario di recupero della password che hai descritto, direi che l'unico vero "problema di sicurezza" è quello che ho descritto sopra: qualcuno ha accesso alla tua email e sa quali siti controllare e recuperare le tue password.

Per quanto riguarda il danno che potrebbe essere causato ... dipende da quali siti Web "intruso" è in grado di recuperare le password per. Probabilmente non ti dispiacerà perdere il tuo account Twitter nel peggiore dei casi, ma questo dimostra perché gli account di banking online non offrono quel tipo di "recupero della password" in primo luogo. Lì "potrebbe" esserci la possibilità che qualcuno ti guardi alle spalle.

Avvolgendolo offrendoti un solido suggerimento su cui lavorare: se MyApp.com è qualcosa che potrebbe rovinare finanziariamente le persone quando sono messe nelle mani sbagliate, non usare questo tipo di recupero della password ... ma se Stai creando il prossimo Facebook o Twitter, sei a posto con questa procedura di recupero.

Spero che questo aiuti. ;)

    
risposta data 20.12.2011 - 01:33
fonte

Leggi altre domande sui tag