Un particolare servizio che uso, quando viene richiesto un reset della password, mi ha mostrato un identificativo sul sito web - qualcosa come 4562708546, apparentemente casuale o sequenziale.
Mi hanno quindi inviato una nuova password tramite posta ordinaria. Oltre alla password (in chiaro), la lettera che ho ricevuto contiene l'identificatore (4562708546), e mi chiede di verificare che sia uguale a quella mostrata dal sito web . La lettera non contiene il nome utente.
Ci ho pensato un po 'e non riesco a capire perché lo facciano:
- È stata inviata una sola lettera, quindi un MITM interessato ad apprendere la password non ha bisogno di conoscere l'identificatore per conoscere la password corretta
- Potrebbe impedire una disfatta accidentale nel caso in cui un utente riceva una lettera destinata a qualcun altro, ma in primo luogo non avrebbe modo di accedere senza conoscere il nome utente dell'altro utente. E se conoscono il nome utente dell'altro utente, probabilmente non è accidentale .
Quale potrebbe essere lo scopo di tale verifica?