Un utente può reimpostare la sua password se il suo indirizzo e-mail non è ancora stato verificato?

Naviga le tue risposte
4

Per favore considera uno scenario in cui un utente si iscrive a un'applicazione web con la sua email e password . Dopo la registrazione, all'utente viene inviata una email di conferma che richiede un accesso / sessione per confermare l'indirizzo email. Per resettare la sua password, l'utente deve confermare una mail di reimpostazione della password che viene inviata al suo indirizzo email memorizzato.

Questo non deve essere confuso con questa domanda simile in quanto l'altra domanda riguarda un accesso temporaneo all'account che non è qui indicato: Dovresti essere in grado di reimpostare una password senza prima verificare l'indirizzo e-mail? In altre parole: La mia domanda non riguarda la modifica di un indirizzo email, ma la procedura di iscrizione iniziale.

C'è qualche problema di sicurezza se l'utente è in grado di resettare la sua password se il suo indirizzo email non è stato ancora confermato?

Lo scenario n. 1 Alice oscura il suo indirizzo email

  1. Per sbaglio, l'e-mail di conferma viene inviata a Eve.
  2. Eve riceve la richiesta di conferma ma non è in grado di confermare il suo indirizzo email.
  3. Tuttavia, Eve è in grado di reimpostare la sua password.
  4. Infine Eve è in grado di confermare il suo indirizzo email e ottenere il pieno controllo dell'account di Alice.

Risultato: il requisito di accesso / sessione per la conferma dell'email viene ignorato. Quindi, penso che questa sia una cattiva idea. Tuttavia, se la reimpostazione della password non è disponibile senza un indirizzo email verificato, potrebbe verificarsi quanto segue:

Scenario n. 2 Alice dimentica la sua password e non ha ancora confermato il suo indirizzo email

  1. Alice si registra con il suo indirizzo email e la sua password.
  2. Alice perde la sessione e dimentica la sua password.
  3. Alice non è in grado di accedere (password errata) e non è in grado di verificare la sua email (login / sessione richiesti). Né è in grado di reimpostare la sua password (email non verificata).
  4. Alice ha perso il controllo del suo account (per sempre).

Quindi, come puoi vedere, lo scenario n. 1 produce un rischio più o meno cattivo (probabilmente non troppo male se non vengono raccolte altre informazioni al momento della registrazione). Tuttavia, lo scenario 2 offre una buona ragione per accettare tale rischio e abilitare il ripristino senza un indirizzo email confermato. Il rischio può essere accettato o mi manca qualcosa?

    
posta hurb 22.09.2016 - 15:02
fonte

1 risposta

3

La procedura di registrazione corretta è la seguente:

  • Alices si iscrive con una nuova password e un indirizzo email (x @ y)
  • l'account viene creato come bloccato fino alla convalida dell'indirizzo email
  • Alices tenta di accedere e riceve solo un messaggio che dice che deve attivare il suo account con i messaggi inviati all'indirizzo x @ y
  • se la convalida non avviene nel tempo previsto (tra 4 e 24 ore) l'account viene distrutto - impedisce ad Alice di dimenticare di convalidare il suo indirizzo email
  • Alices si convalida dalla posta e viene richiesta la password. Se non riesce a fornire la password corretta dopo tre tentativi, l'account viene distrutto - impedisce ad Eves di utilizzare l'account di Alice se ha ricevuto la mail di convalida

Il vero caso problematico (già visto nel mondo reale) è:

  • Alice si registra con un account di posta corretto dal proprio ISP e lo convalida
  • più tardi Alice cambia ISP, utilizza un nuovo account email ma dimentica di dichiararlo nel suo account
  • anche dopo Alice dimentica la sua password. Plonk! È sicuramente bloccata dal suo account

Non riesco ad immaginare un modo per mitigare quel problema

    
risposta data 22.09.2016 - 15:50
fonte

Leggi altre domande sui tag

Esiste una minaccia alla sicurezza dovuta alla restituzione della password nel modulo che invia un errore (ad esempio in una pagina di registrazione)? Configurazione di socat per eseguire il pentest di un server Web remoto solo IPv6 da un host IPv4