Se un utente cambia password dovrebbe rendere tutte le chiavi API non valide?

Question

Se un utente cambia password dovrebbe rendere tutte le chiavi API non valide?

#1 da (1 voti)

4

Quando un utente cambia la propria password, questo costringerà tutti gli utenti che hanno effettuato l'accesso sul sito Web tramite i cookie ad essere costretti ad accedere di nuovo. Tuttavia, c'è un'applicazione mobile che registra l'utente tramite la chiave API. La chiave API recupera anche i dati dell'utente. Questo non viene effettuato cambiando le password. L'utente è ancora in grado di eliminare la chiave API nelle impostazioni per impedire all'utente di accedere a più dati sull'applicazione mobile. La modifica delle password dovrebbe anche invalidare tutte le chiavi API?

api passwords password-reset

posta Curt Rand 04.02.2018 - 19:39

fonte

1 risposta

Leggi altre domande sui tag api passwords password-reset

Banking: macchina virtuale Ubuntu e tastiera virtuale, o installazione completa di Ubuntu su unità USB? Supporta la sicurezza ATA o consente 2FA?

score 1 · Accepted Answer

Vado con no, con l'avvertenza che l'utente dovrebbe essere richiesto di reimpostare la propria chiave API immediatamente dopo aver cambiato la password. Questo è più un problema di sicurezza UX / sicurezza che tecnico.

Normalmente un token API verrà installato in uno script da qualche parte, probabilmente non accessibile al momento. A seconda di quali sono i tuoi dati sul sito, potrebbe anche essere così importante che l'accesso API mancante potrebbe causare alcuni problemi importanti. Per finire, l'utente potrebbe anche non cambiare le proprie password a causa di un sospetto compromesso ma semplicemente rotazione standard. Cambio le mie password regolarmente ma non ruoto le mie chiavi API perché non si trovano su dispositivi mobili che possono essere compromessi molto più facilmente rispetto al mio server bloccato.

Per tutti questi motivi, non credo che un reset obbligatorio delle chiavi sia ragionevole. Se i dati sono molto segreti (PII, soldi, ecc.), Allora potresti farla franca chiedendo loro di resettare la chiave per finire, ma in realtà con qualsiasi altra cosa non penso che valga la pena dell'utente.