Problemi con la reimpostazione delle password conteggio delle ipotesi?

Naviga le tue risposte
1

Prologue. Immagina un sito Web con un login. Hai un account, inserisci il tuo indirizzo e-mail e una password. Errore. Password non corretta. Provi altre due password. Sia errato che ora il tuo account è bloccato. Fortunatamente, non è un blocco a tempo, ma devi cambiare la password. Faccio clic sul collegamento nella sezione "hai dimenticato la password" - e-mail e inserisci una nuova password. Il sito web risponde con: "Si prega di scegliere una password diversa dalla password corrente".

OK, quindi ecco la mia domanda: ci sarebbero (altri) rischi per la sicurezza se, invece di costringermi a cambiare la mia password, l'e-mail che mi mandano dopo n password non valide, conterrebbe un link che mi rimanda alla pagina di accesso, ma con n nuovi tentativi di accesso?

    
posta Protector one 15.03.2017 - 17:21
fonte

2 risposte

1

L'interfaccia utente non dovrebbe indicare che l'utente è bloccato. Consulta le indicazioni OWASP su questo argomento .

Se consideri questo piccolo dettaglio, l'idea di fornire un link per "altri tre" tentativi non ha alcun senso.

Inoltre, non vedo alcun danno nel consentire all'utente di reimpostare la sua password con la sua password esistente, se per qualche strana stranezza lo ricorda durante il ripristino. Tuttavia, se sceglie di mantenerlo, dovresti conservare il vecchio valore "data di creazione della password" (se imponi la scadenza della password).

    
risposta data 15.03.2017 - 18:26
fonte
1

Molti siti Web utilizzano il reCaptcha quando qualcuno sta iniziando a fallire i tentativi di accesso. Il motivo per cui ciò è positivo è perché 1) è anti-bot perché i robot hanno difficoltà a leggere le immagini e 2) Mantiene l'utente sulla pagina senza dover lasciare o causare problemi aggiuntivi come dover accedere alla propria e-mail per un nuovo link.

Non ci sarebbero molti rischi per la sicurezza ma nel peggiore dei casi, se un utente malintenzionato avesse anche accesso al tuo account e-mail, può scrivere un bot per accedere alla tua e-mail, ottenere il link, navigare al link e ricominciare a provare e ripetere il processo. Penso che la soluzione migliore sia implementare reCaptcha dopo che un utente ha troppe password errate.

    
risposta data 15.03.2017 - 17:38
fonte

Leggi altre domande sui tag

Come verrebbero compromesse le autorizzazioni rw su una directory Apache? L'utente finale compone il collegamento e-mail al dominio esterno: best practice?