Gli utenti possono accedere con la stessa password quando viene richiesta una modifica della password ma non viene modificata?

Naviga le tue risposte
1

Ho notato che alcuni siti non consentono di accedere con la vecchia password se viene richiesta una nuova password, ma non è stata modificata.

Esempio: ho dimenticato la mia password e ne ho richiesta una nuova nell'e-mail. Ricevuto l'e-mail per resettarlo, cliccato su di esso e poi durante la digitazione, ho ricordato la vecchia password. Quindi annullo la pagina e torno alla pagina di accesso. Tuttavia, non mi permette di accedere con la vecchia password in quanto ho richiesto una modifica della password.

Quali compromessi sono possibili se permettiamo agli utenti di accedere con la vecchia password, invece di fargli cambiare la password?

    
posta Sambhav Bellani 09.02.2017 - 10:53
fonte

4 risposte

3

Sì, è necessario consentire agli utenti di accedere utilizzando la vecchia password finché non hanno cambiato la password. Altrimenti sarebbe possibile bloccare gli utenti dal proprio account richiedendo una reimpostazione della password per loro.

    
risposta data 09.02.2017 - 11:07
fonte
1

Il comportamento che stai descrivendo ha un senso in qualche modo, la tua password è stata probabilmente cancellata quando hai aperto la nuova pagina di password come hai già dimostrato di essere l'autore della modifica o in realtà hai desiderato di ottenere una nuova password.

Secondo me non aggiunge o rimuove la sicurezza, è più un dettaglio di implementazione guidato da:

  • il modo in cui funziona il framework (ripulire la voce del database prima di salvare quella nuova).
  • il team di sviluppo non pensava che qualcuno avrebbe annullato la nuova password e sebbene fosse meglio ripulirlo al caricamento della pagina.

Sono favorevole alla gestione del caso "cancel", la password dovrebbe essere cancellata / sovrascritta solo quando l'utente ha convalidato il modulo, per gli stessi motivi che ha dato @Sjoerd: per evitare di bloccare gli utenti.

    
risposta data 09.02.2017 - 12:02
fonte
0

Il client può reimpostare la sua password perché potrebbe sospettare che il potenziale attaccante lo abbia. Sarebbe una pessima idea mandargli una email che indichi che la sua password verrà pulita (o spostata nel campo "old_password_hash") anche se l'hacker può ancora usarla dopo che il client ha fatto clic sul link.

    
risposta data 10.02.2017 - 08:48
fonte
-1

Puoi impostare criteri diversi per utenti diversi:  L'utente normale può ancora accedere con la stessa password fino a quando non cambia la sua password  utente con privilegi elevati in bianco, devi applicare la modifica della password in base al criterio di organizzazione

    
risposta data 10.02.2017 - 08:59
fonte

Leggi altre domande sui tag

Distanza tra il sito principale e il sito di ripristino di emergenza Quali sono alcune tattiche per superare il problema di esternalità degli sviluppatori che non ricevono abbastanza addestramento sulla sicurezza? [chiuso]