Se un utente cambia password dovrebbe rendere tutte le chiavi API non valide?

4

Quando un utente cambia la propria password, questo costringerà tutti gli utenti che hanno effettuato l'accesso sul sito Web tramite i cookie ad essere costretti ad accedere di nuovo. Tuttavia, c'è un'applicazione mobile che registra l'utente tramite la chiave API. La chiave API recupera anche i dati dell'utente. Questo non viene effettuato cambiando le password. L'utente è ancora in grado di eliminare la chiave API nelle impostazioni per impedire all'utente di accedere a più dati sull'applicazione mobile. La modifica delle password dovrebbe anche invalidare tutte le chiavi API?

    
posta Curt Rand 04.02.2018 - 19:39
fonte

1 risposta

1

Vado con no, con l'avvertenza che l'utente dovrebbe essere richiesto di reimpostare la propria chiave API immediatamente dopo aver cambiato la password. Questo è più un problema di sicurezza UX / sicurezza che tecnico.

Normalmente un token API verrà installato in uno script da qualche parte, probabilmente non accessibile al momento. A seconda di quali sono i tuoi dati sul sito, potrebbe anche essere così importante che l'accesso API mancante potrebbe causare alcuni problemi importanti. Per finire, l'utente potrebbe anche non cambiare le proprie password a causa di un sospetto compromesso ma semplicemente rotazione standard. Cambio le mie password regolarmente ma non ruoto le mie chiavi API perché non si trovano su dispositivi mobili che possono essere compromessi molto più facilmente rispetto al mio server bloccato.

Per tutti questi motivi, non credo che un reset obbligatorio delle chiavi sia ragionevole. Se i dati sono molto segreti (PII, soldi, ecc.), Allora potresti farla franca chiedendo loro di resettare la chiave per finire, ma in realtà con qualsiasi altra cosa non penso che valga la pena dell'utente.

    
risposta data 06.02.2018 - 07:43
fonte

Leggi altre domande sui tag