Dovresti essere in grado di reimpostare una password senza prima verificare l'indirizzo e-mail?

4

Ho appena notato con Instagram, quello che puoi fare è:

  1. Dall'app Instagram registrata, cambia il tuo indirizzo email. Questo invierà un link di verifica al nuovo indirizzo email.
  2. La verifica dell'indirizzo email richiede l'accesso quando fai clic sul link.
  3. Da qualsiasi schermata di accesso (browser desktop o app per smartphone), è possibile chiedere di reimpostare la password utilizzando il nuovo indirizzo e-mail prima di aver verificato l'indirizzo e-mail.
  4. In questo modo verrà inviato un link di ripristino al nuovo indirizzo email, che è possibile utilizzare per reimpostare la password, quindi verificare il nuovo indirizzo.

Quindi questo richiede che tu abbia già accesso alle persone registrate nell'account di Instagram (ad esempio se lasciano il telefono in giro).

Si tratta di un grave problema di sicurezza o ritieni che l'accesso al telefono di qualcuno sia già una violazione della sicurezza?

Maggiori dettagli qui: link

    
posta dwjohnston 01.06.2015 - 06:16
fonte

1 risposta

3

Lasciare l'accesso al tuo telefono mentre sei connesso a un servizio è senza dubbio una violazione della sicurezza, ma vedo anche alcuni errori da parte di Instagram qui:

  1. Non richiede la password quando si modifica l'indirizzo email associato all'account
  2. Invio della verifica per il nuovo indirizzo email al nuovo indirizzo email , anziché il vecchio indirizzo email (o entrambi i vecchi e i nuovi indirizzi)

Il punto n. 1 dovrebbe essere implementato in qualsiasi ambiente che sia minimamente attento alla sicurezza. Se non implementato, il punto 2 serve a mitigare questo tipo di attacchi.

    
risposta data 01.06.2015 - 10:09
fonte

Leggi altre domande sui tag