È sicuro che un utente possa reimpostare manualmente la sua password ogni accesso (via email o autenticazione a 2 fattori) a un token casuale tramite e-mail o autenticazione a 2 fattori, quando OTP non è forzato?
Voglio dire che un utente malintenzionato dovrebbe ottenere l'accesso all'e-mail per accedere, ma se è in grado di accedere all'e-mail, quindi potrebbe eludere la password resettandola comunque.
Non riesco a vedere alcun problema diretto di sicurezza, ma possono esserci effetti collaterali.
Su alcuni sistemi, l'utente e / o gli amministratori sono avvisati che è stata cambiata una password. Cambiare una password ogni giorno potrebbe aggiungere rumore lì. Un altro test possibile è che cambiando molto spesso una password potrebbe essere un indicatore che accade qualcosa di strano con quell'account e qui di nuovo l'utente e gli amministratori potrebbero essere avvisati di ciò.
Alcuni sistemi possono utilizzare la sincronizzazione delle password. Ok SSO è migliore, ma non tutti i sistemi lo supportano, questo è il motivo per cui è possibile utilizzare la sincronizzazione delle password. Quando una password viene modificata con successo in un sistema, una richiesta per impostare la nuova password viene inviata a un altro sistema. In condizioni anormali (problemi di rete) la richiesta può essere accodata o persa. Nel primo caso, le password diventano diverse durante una variabile ma un breve periodo, nella seconda le password passano fuori sincrono fino al prossimo reset. Questo è raramente osservato in condizioni normali perché è necessario il verificarsi simultaneo di 2 eventi: una modifica della password e un problema di rete. Ma se una password viene cambiata ogni giorno su tale sistema, puoi aspettarti di cadere in quella trappola.
Leggi altre domande sui tag password-management user-education password-reset