Perché i siti web mostrano parti di numeri di telefono, ma mai indirizzi e-mail?

1

Supponiamo che disponga di un sito Web che consenta a un utente di reimpostare la sua password tramite e-mail o tramite messaggio di testo. L'utente dovrebbe essere autorizzato a scegliere l'uno o l'altro.

Senza dare troppe informazioni, quale sarebbe la quantità ottimale di caratteri da visualizzare per un numero di telefono e un indirizzo email per consentire all'utente di reimpostare la propria password?

La maggior parte dei siti che ho incontrato non visualizza affatto le e-mail (solo pochi caratteri possono aiutare un utente malintenzionato a collegare una e-mail a un account), e semplicemente inviare una e-mail di reset in silenzio. Ma i numeri di telefono sembrano essere trattati in modo diverso, poiché i siti tendono a visualizzare almeno una parte dei numeri di telefono, spesso utilizzando gli ultimi due caratteri del numero in questo modo: (***)-***-**55

Questa è la migliore convenzione da seguire in termini di equilibrio tra usabilità e sicurezza? Perché i siti web visualizzano qualsiasi parte di un numero di telefono quando non visualizzano e-mail e c'è qualche rischio associato nel visualizzare che l'utente ha un telefono e / o e-mail connessi al proprio account in primo luogo?

    
posta Verbal Kint 17.08.2016 - 22:57
fonte

1 risposta

1

Questo è tutto basato sul design del sito web.

L'indirizzo e-mail è comunemente usato per il nome utente per il tuo account. Quindi, se il sito web esponeva pochi caratteri dall'indirizzo e-mail, allora sono pochi i caratteri in meno per la forza bruta. Se il sito Web non utilizza l'e-mail per il nome dell'account, è un attacco ridotto per l'ingegnere sociale o altre forme di attacco.

Il numero di telefono non è comunemente usato per il nome utente, quindi esporre questo non ha una minaccia diretta verso la compromissione di un account sul sito web.

    
risposta data 17.08.2016 - 23:09
fonte

Leggi altre domande sui tag