Password reset mail - reimposta nuovamente la password [duplicato]

0

Supponiamo che questa situazione: io sono un utente di un negozio online, ho dimenticato la mia password. Quindi uso la funzionalità di questo negozio online per reimpostare la mia password. Il negozio online mi invia un'email con un link che dovrei visitare per cambiare la mia password. Ho cambiato la mia password, ma non ho eliminato questa email.

Ora, il giorno dopo (dopo il reset del passwod) ho visto di nuovo questa e-mail e ho cliccato di nuovo su di esso e posso cambiare di nuovo la mia password. Dal punto di vista della sicurezza: come valuteresti questa situazione?

    
posta kristian 24.05.2017 - 11:01
fonte

3 risposte

3

Se puoi farlo, significa che gli sviluppatori non hanno usato un token per rendere valido quel link solo per un certo periodo.

La soluzione giusta è utilizzare i token che scadranno dopo che la password è stata ripristinata o dopo 10-15 minuti.

    
risposta data 24.05.2017 - 11:15
fonte
2

Questa situazione ha un rischio per la sicurezza in esso, come se qualsiasi altra persona potesse ottenere questo link, può cambiare la tua password e usare il tuo account in modo non desiderabile.

Ma in generale i link di reimpostazione della password sono accompagnati da un token che ha una scadenza. Utilizzando questo meccanismo il collegamento diventa inutilizzabile dopo un certo periodo di tempo. Generalmente il limite di tempo per la scadenza del token varia da minuti a giorni, che è a sola discrezione del proprietario del sito web / portale.

La mail di ripristino che hai ricevuto potrebbe aver specificato l'ora in cui il link sarà attivo.

Spero che questo chiarisca.

    
risposta data 24.05.2017 - 11:14
fonte
1

Questo non va bene perché chiunque abbia quel link (nota: il token è il più importante) può apportare modifiche alla tua password per un tempo illimitato.

Soluzione 1: invalida il token dopo che la password è stata ripristinata con successo.

Soluzione 2: far scadere il token dopo un po 'di tempo. Gli esempi del mondo reale vanno spesso da 10 minuti a 3 ore.

Consiglierei di implementare entrambi i precedenti.

    
risposta data 24.05.2017 - 11:38
fonte

Leggi altre domande sui tag