Obfuscate Identity for Password Reset Information

0

Mi sto solo chiedendo le tue opinioni sul perché sarebbe / non sarebbe una buona idea mascherare o offuscare i dati dell'indirizzo email in un invio via web di reimpostazione della password una volta che l'utente ha inserito il proprio nome utente per informarlo di dove è stato inviato il link di reimpostazione della password a.

Esempio:

"Il tuo link di reset della password è stato inviato a Mar************ky@h******.com Se questo non è il tuo indirizzo, ti preghiamo di contattarci al numero 1-800-555-5555. "

I provider di grandi dimensioni, come Apple e Google, lo fanno in una certa misura, e credo che aiuti gli utenti a ricordare quale indirizzo hanno impostato, se usano raramente il servizio e offre loro l'opportunità di realizzare "oh cr @ p, I hai ancora quel vecchio indirizzo! ".

I pensieri per i pro ei contro sarebbero i benvenuti!

    
posta AgentDiNozzo 05.05.2016 - 16:57
fonte

2 risposte

3

Credo che lo facciano per impedire agli spammer di immettere nomi utente casuali e ottenere un elenco di indirizzi e-mail, pur ricordando l'indirizzo impostato all'utente legittimo (che potrebbe avere più di un account).

Personalmente non vedo alcun grosso problema con questo. Certo, qualcuno potrebbe creare un account con un vecchio indirizzo email, dimenticarlo e dimenticare la password, senza possibilità di reimpostarlo, ma questo non è un difetto di questo meccanismo.

    
risposta data 05.05.2016 - 17:08
fonte
2

Un difetto con questo sistema è che gli indirizzi e-mail sono spesso abbastanza prevedibili e molte persone hanno indirizzi e-mail da un numero relativamente piccolo di provider. Ciò può significare che un attacco mirato (spear phishing, ad esempio) può utilizzare questo tipo di moduli come un modo per confermare le ipotesi agli indirizzi email.

Ad esempio, un utente chiamato John Smith potrebbe avere l'indirizzo e-mail [email protected] (dal lavoro su Example) e un indirizzo personale, che non è noto direttamente. Il suo account Facebook potrebbe consentire di reimpostare la password a "js****@g****.com" - è abbastanza probabile che sarà [email protected]. Se offrisse "j********@h******.com", puoi fare una buona impressione su [email protected]. È molto meno probabile che abbia "[email protected]", a meno che non si sappia che lavora per il proprietario del dominio.

È possibile migliorare leggermente la sicurezza di questo tipo di attacco disaccoppiando la lunghezza dell'indirizzo originale dalla lunghezza fornita nella versione offuscata: "j*@g*.com" e "j*@h*.com" don Non offrite quasi tutte le informazioni, ma probabilmente sono sufficienti per indurre l'utente legittimo a dove devono apparire.

    
risposta data 05.05.2016 - 17:27
fonte

Leggi altre domande sui tag