Supponiamo che disponga di un sito Web che consenta a un utente di reimpostare la sua password tramite e-mail o tramite messaggio di testo. L'utente dovrebbe essere autorizzato a scegliere l'uno o l'altro.
Senza dare troppe informazioni, quale sarebbe la quantità ottimale di caratteri da visualizzare per un numero di telefono e un indirizzo email per consentire all'utente di reimpostare la propria password?
La maggior parte dei siti che ho incontrato non visualizza affatto le e-mail (solo pochi caratteri possono aiutare un utente malintenzionato a collegare una e-mail a un account), e semplicemente inviare una e-mail di reset in silenzio. Ma i numeri di telefono sembrano essere trattati in modo diverso, poiché i siti tendono a visualizzare almeno una parte dei numeri di telefono, spesso utilizzando gli ultimi due caratteri del numero in questo modo:
(***)-***-**55
Questa è la migliore convenzione da seguire in termini di equilibrio tra usabilità e sicurezza? Perché i siti web visualizzano qualsiasi parte di un numero di telefono quando non visualizzano e-mail e c'è qualche rischio associato nel visualizzare che l'utente ha un telefono e / o e-mail connessi al proprio account in primo luogo?