Perché dopo una reimpostazione della password del sito Web, ho chiesto di effettuare nuovamente il login?

Naviga le tue risposte
2

Ho notato che ogni sito web ha lo stesso identico comportamento per le pagine di reimpostazione della password. Invia un link alla tua email usando la quale puoi raggiungere la pagina di reimpostazione della password. In quella pagina inserisci la nuova password. Fin qui tutto bene. Ma a questo punto, mi chiedono sempre di effettuare nuovamente il login. Perché? Ho appena inserito la mia password due volte insieme al mio login (email - ovviamente questo viene fatto implicitamente tramite il link). Quindi, perché chiedermi di effettuare nuovamente il login? C'è un motivo di sicurezza per questo che non vedo? O è solo una vecchia pratica che sembra indugiare?

    
posta user220201 07.08.2014 - 06:27
fonte

5 risposte

2

Non c'è ragione per cui questo non possa essere fatto tecnicamente, e vedo il sito occasionale che lo fa. Ma richiederebbe la creazione di un codice aggiuntivo, quindi è più economico permettervi di gestire l'accesso; -)

Al momento della registrazione accade la stessa cosa con il link di conferma: nella maggior parte dei casi devi ancora accedere (ma in questo caso ci sono relativamente più siti che effettuano l'accesso automatico, nella mia esperienza).

    
risposta data 07.08.2014 - 09:33
fonte
2

Questo comportamento indica una buona pratica di sicurezza: tutte le sessioni sono invalidate sulla password di modifica.

Forse l'utente sta cambiando la password perché quella vecchia è stata compromessa. In tal caso, invalidare tutte le sessioni aiuta a proteggere l'utente.

È vero che non è necessario invalidare la sessione che ha eseguito la reimpostazione della password. Ma un sito web che richiede un re-login tende a implicare che stanno seguendo buone pratiche di sicurezza, mentre i siti web che non lo fanno tendono a non invalidare affatto le sessioni.

    
risposta data 07.08.2014 - 12:07
fonte
0

Non sono sicuro al 100%, ma, dopo aver cliccato su quel link di reimpostazione della password, ovviamente la tua password è cambiata, il che significa che non puoi accedere con quelle credenziali che sono state fornite con quel link o password qualunque fosse. Le credenziali che ti hanno registrato in qualche modo in quel sito sono scadute. E dopo aver cambiato la password, puoi accedere con i privilegi completi del tuo account / profilo. Solo la mia opinione, però

    
risposta data 07.08.2014 - 06:53
fonte
0

Non c'è assolutamente alcun motivo di sicurezza per costringere l'utente a inserire nuovamente la password dopo averla appena modificata. Chiunque abbia impostato la password lo sa ora, quindi potresti anche loggarli.

Sospetto pigrizia o ignoranza: aggiungere un log-in automatico richiede che il programmatore pensi effettivamente al problema e scriva un codice extra. È più semplice fare il minimo (cambiare la password) e lasciare tutto il resto nella pagina di accesso standard.

    
risposta data 07.08.2014 - 11:12
fonte
0

Probabilmente il motivo è che accedendo all'utente come parte del processo di reimpostazione della password, crei una nuova superficie di sicurezza, che devi controllare - oltre a "accesso standard" e "reimpostazione della password" ora anche tu avere "accesso durante il ripristino della password".

Forzando l'utente a passare attraverso la procedura di accesso standard, elimini tale problema, effettuando sempre il login nello stesso modo nello stesso luogo.

(Sì, la pigrizia del programmatore è anche una grande parte di questo: -))

    
risposta data 07.08.2014 - 12:17
fonte

Leggi altre domande sui tag

Massima protezione su una rete di computer? Sarebbe utile un grande servizio di prim'ordine?