Gli utenti devono completare un CAPTCHA dopo aver modificato la password nelle impostazioni dell'account?

2

Su Last.fm, ho bisogno di completare un CAPTCHA per cambiare la mia password. Voglio cambiare la mia password perché haibeenpwned elenca il mio account come visualizzato nella violazione last.fm. Tuttavia, sembra che il CAPTCHA sia impossibile da risolvere, quindi ho dovuto rinunciare all'account (la cancellazione del mio account non richiede un CAPTCHA). Questo mi ha fatto chiedere:

Perché dovremmo compilare un CAPTCHA in primo luogo, quando uno ha già effettuato l'accesso con successo e sta solo cercando di cambiare la sua password? Quale attacco impedisce?

    
posta Luc 21.02.2018 - 23:29
fonte

1 risposta

1

Come accennato da AndrolGenhald, potrebbe essere quello di provare l'acquisizione automatica di account con credenziali compromesse. Anche senza la violazione di last.fm, immagino che ogni volta che vengono violate le credenziali per qualsiasi sito, i robot provano le credenziali su una serie di siti Web diversi, includendo possibilmente last.fm (ecco perché è male riutilizzare le credenziali).

Mentre last.fm, come altri siti, potrebbe inserire un captcha nella loro pagina di accesso, sarebbe molto più incon vente dato che gli utenti di solito effettuano l'accesso molto più spesso di quanto abbiano reimpostato le loro password.

Alla fine, impediscono ai robot di fare la cosa che sarebbe più semplice da fare automaticamente per gli account compromessi: reimpostare la password

    
risposta data 23.02.2018 - 20:19
fonte

Leggi altre domande sui tag