Scopo di avere un identificatore su una comunicazione di reimpostazione della password

Naviga le tue risposte
3

Un particolare servizio che uso, quando viene richiesto un reset della password, mi ha mostrato un identificativo sul sito web - qualcosa come 4562708546, apparentemente casuale o sequenziale.

Mi hanno quindi inviato una nuova password tramite posta ordinaria. Oltre alla password (in chiaro), la lettera che ho ricevuto contiene l'identificatore (4562708546), e mi chiede di verificare che sia uguale a quella mostrata dal sito web . La lettera non contiene il nome utente.

Ci ho pensato un po 'e non riesco a capire perché lo facciano:

  • È stata inviata una sola lettera, quindi un MITM interessato ad apprendere la password non ha bisogno di conoscere l'identificatore per conoscere la password corretta
  • Potrebbe impedire una disfatta accidentale nel caso in cui un utente riceva una lettera destinata a qualcun altro, ma in primo luogo non avrebbe modo di accedere senza conoscere il nome utente dell'altro utente. E se conoscono il nome utente dell'altro utente, probabilmente non è accidentale .

Quale potrebbe essere lo scopo di tale verifica?

    
posta goncalopp 12.05.2016 - 23:03
fonte

1 risposta

2

Permette di identificare il tentativo di reimpostazione della password

Supponiamo di richiedere una reimpostazione della password (nuova password: "12345"). Tuttavia, l'e-mail di ripristino è lenta a venire e, dopo aver atteso un po 'di tempo, concludi se fallisce e fai un secondo tentativo (nuova password: "67890"). Nel frattempo, arriva la prima e-mail. Apri l'e-mail di reimpostazione della password e ti chiede di inserire la password / token "12345" per recuperare il tuo account. Tuttavia, e per la tua frustrazione, semplicemente non funziona, lamentandosi del fatto che non è valido (ma hai la loro email di fronte a te!) Visto che - a tua insaputa - ora si aspetta "67890".

Se esistesse tale identificatore (e lo confrontassi), potresti notare che non è lo stesso tentativo e aspettare che arrivi la seconda email. Anche se hai ricevuto entrambe le email, l'identificatore ti consente di selezionare quello giusto.

Personalmente, non sembra un metodo molto appropriato. Suggerirei di fornire invece un timestamp. L'e-mail di dovrebbe per la reimpostazione della password deve contenere il timestamp in cui è stato effettuato il tentativo di reset per la registrazione. Citando "assicurati che l'email sia per la richiesta di reset a xx / yy / zzzz hh: mm: ss" sarebbe molto più chiaro.

Un'altra opzione è che si intende evitare che le persone seguano link su email di reimpostazione della password fraudolente. Ma se non hai fatto tale richiesta, per definizione non avresti nessuna con cui confrontarti, e quindi dubito che ti protegga da qualsiasi cosa.

PS: Oltre a quanto sopra, dovrebbero essere i token di e-mail, non le password (o almeno forzarne la modifica al successivo accesso)

    
risposta data 13.05.2016 - 00:49
fonte

Leggi altre domande sui tag

utilizzando netcat come gestore per il carico utile di windows / meterpreter / reverse_tcp L'HSTS dovrebbe essere dichiarato su tutte le risorse o solo su file HTML?