La funzione di "reimpostazione della password" del sito Web fornisce troppe informazioni?

Naviga le tue risposte
4

Se un sito web ha una funzione di reimpostazione della password (che invierà al titolare dell'account un link di ripristino) , questa funzione rivela troppe informazioni consentendo a qualcuno di verificare chi detiene un account inserendo vari indirizzi e-mail?

Su una schermata di accesso è possibile aggirare il problema rivelando chi detiene un account dando un messaggio generico "E-mail o password non corretta" quando vengono inseriti dati errati. Che potrebbe significare che un account non esiste o che la password è sbagliata.

L'unico modo in cui posso pensare di non rivelare chi detiene un account tramite un link di reimpostazione della password è quello di fornire un messaggio generico che dice "Ti è stato inviato un link di ripristino al tuo indirizzo e-mail, se avevi un account, altrimenti dovrai creare un nuovo account "o parole in tal senso, indipendentemente dal fatto che possa essere inviato correttamente un link di ripristino.

    
posta Peter Bridger 08.11.2012 - 12:10
fonte

3 risposte

5

Hai già risposto tu stesso alla domanda: l'unico modo per non rivelare alcuna informazione è di visualizzare un generico "Un messaggio è stato inviato a un @ bc" dopo aver richiesto il ripristino della passwort, anche se non è associato alcun account e-mail. Vedi anche Questa domanda per ulteriori dettagli.

    
risposta data 08.11.2012 - 15:02
fonte
0

Sì, potrebbe essere, ma il proprietario dell'applicazione potrebbe limitare il numero di tentativi da particolari indirizzi IP. Un altro livello potrebbe essere che la validità dell'indirizzo e-mail inserita possa essere verificata nel database dell'applicazione. Un'altra possibilità è chiedere due volte l'indirizzo e-mail e disabilitare gli appunti nel secondo campo, quindi è sempre necessario digitarlo manualmente.

Altrimenti hai assolutamente ragione.

    
risposta data 08.11.2012 - 14:48
fonte
0

Stai proteggendo i conti bancari delle persone coinvolte in transazioni illecite? Se è così, probabilmente lasciare un avversario per strappare indirizzi / credenziali è probabilmente poco saggio.

Stai proteggendo le mie preferenze di visualizzazione su un sito Web pubblico? Se è così, allora la funzione "reset password" è noiosa.

Come qualcuno ha detto, tutti i controlli di sicurezza hanno un costo; l'arte è bilanciare costi, rischi e conseguenze.

    
risposta data 08.11.2012 - 15:29
fonte

Leggi altre domande sui tag

Implementazioni wireless sicure La convalida degli eventi di ASP.NET è completamente sicura?