Perché chiedere nome utente / password dopo aver reimpostato correttamente la password? [duplicare]

Naviga le tue risposte
1

Ho molto, molto raramente visitato un sito solo per reimpostare la mia password. Perché allora, dopo aver eseguito un processo di reimpostazione della password, la conclusione del processo mi chiede di effettuare nuovamente il login con la nuova password?

Che cosa si ottiene da questo, invece di limitarmi a passare alla sezione "hai effettuato l'accesso con successo" del sito, dopo aver modificato correttamente la password?

Ho visto questo pattern utilizzato in diversi siti ben noti, quindi presumo che ci sia una buona ragione per questo.

    
posta J Kimball 05.05.2017 - 17:30
fonte

2 risposte

2

È più sicuro evitare di distribuire un token di sessione in caso di ripristino corretto. Inoltre, aiuta a rafforzare la nuova password per l'utente o rende più probabile che il gestore delle password dell'utente rilevi l'aggiornamento. La parte del codice che gestisce gli utenti bloccati dovrebbe essere totalmente indipendente dalla parte che li autentica.

    
risposta data 05.05.2017 - 17:44
fonte
2

Posso vedere 3 motivi per questo processo:

  • È facile da implementare. L'applicazione cambia la password dell'utente e quindi la registra correttamente, cancellando il token di autenticazione nel database. Quando l'utente esegue nuovamente l'accesso, viene emesso un nuovo token di autenticazione. Questo evita qualsiasi incoerente comportamento inaspettato dell'applicazione.
  • Ciò consente al browser di notare la modifica della password. Al momento dell'accesso, il gestore password del browser può chiedere di aggiornare la password con quella nuova.
  • Questo processo garantisce che l'utente possa accedere con la nuova password. L'utente noterà immediatamente se fa un errore.

Quindi, fondamentalmente, questa è più una decisione basata sulla progettazione delle applicazioni o preoccupazioni UX rispetto ai requisiti di sicurezza.

    
risposta data 05.05.2017 - 17:45
fonte

Leggi altre domande sui tag

Phishing: consentire # nell'URL di reindirizzamento fornito dall'utente? La password viene visualizzata come testo in chiaro tramite l'intercettazione di burp suite per la richiesta HTTPS, è un problema?