La documentazione di Devise afferma che "Per scopi di sicurezza, a volte è necessario informare gli utenti quando cambiano le loro password. " In generale, quando è necessario fornire tale notifica e perché?
La documentazione di Devise afferma che "Per scopi di sicurezza, a volte è necessario informare gli utenti quando cambiano le loro password. " In generale, quando è necessario fornire tale notifica e perché?
Nella maggior parte dei siti Web che utilizzo, soprattutto per il mio 401 (k), ricevo un'e-mail ogni volta che cambio le modifiche della mia password. Dato che è qualcosa che influisce sul mio futuro finanziario, lo apprezzo quindi so subito se la password dovesse cambiare e non l'ho avviata.
In risposta alla tua domanda, dipende. Per un sito Web che vuole solo che le persone effettuino l'accesso per qualche motivo (ad esempio una pizzeria che non memorizza le informazioni o l'indirizzo della mia carta di credito), potrebbe non essere un grosso problema avvisare le persone di una modifica della password. Per qualsiasi problema di privacy o sicurezza, come la sicurezza medica, finanziaria, informatica, qualsiasi cosa abbia a che fare con minori o altri sistemi simili, direi che la notifica di tutte le modifiche della password, immediatamente, sarebbe obbligatoria. Per i repository di codice, vorrei sapere se qualcuno sta effettuando l'accesso come me in modo da poter impedire il furto della proprietà intellettuale della mia azienda o della mia proprietà. Per questo vorrei inviare una notifica di una reimpostazione della password in modo che l'utente possa assicurarsi che il codice che viene caricato / scaricato da loro venga eseguito dal repository appropriato.
Dipende dal tuo sistema. Se la reimpostazione della password avviene tramite un collegamento di posta elettronica generato, non serve a nulla inviare un'altra email dopo.
Se la password viene modificata tramite un'interfaccia dell'applicazione, l'utente deve ricevere una notifica. Potrebbero essere state utilizzate vecchie credenziali per accedere all'app o all'accesso forzato brutale.
Informare un utente li coinvolge nella sicurezza del proprio account e aiuta a rilevare i comportamenti che potresti perdere.
Non sono previsti requisiti di conformità per questo meccanismo, ma tutto ciò che porta gli utenti a essere responsabili della loro sicurezza è una buona cosa.
Leggi altre domande sui tag passwords password-management password-reset