Imposizione della modifica della password

Naviga le tue risposte
0

Quando un sito viene violato o in altro modo, il sito Web ti obbliga a cambiare la tua password. Questo viene fatto semplicemente dicendoti di cambiare la password, non di applicarla.

Perché lo fanno? Ad esempio, potrebbero:

  1. Disattiva le tue credenziali e invia una e-mail per reimpostare la password.
  2. Nel caso in cui hai perso l'email - o non utilizzi il servizio molto spesso e hai scelto di ignorare l'e-mail di reimpostazione della password - basta mantenere l'account disattivato fino al tentativo di accesso, quindi inviare l'e-mail di reimpostazione della password, con collegamenti ipertestuali a segnala possibili tentativi di accesso non autorizzati.
posta blended 21.05.2014 - 17:13
fonte

2 risposte

1

Ho implementato la funzionalità che descrivi in passato come segue: insieme a ogni account nel database, viene memorizzato un valore booleano. Ad esempio, questa proprietà potrebbe essere denominata IsPasswordChangeRequired .

Quando viene inviato il modulo di accesso, il server Web controlla innanzitutto se le credenziali dell'utente sono valide. Se questo è il caso, controlla il valore della proprietà IsPasswordChangeRequired . Quando è true , viene pubblicata una versione alternativa del modulo di accesso, ad esempio una che contiene i campi per inserire una nuova password.

Il server potrebbe anche rispondere reindirizzando a una modifica della pagina della password .

    
risposta data 21.05.2014 - 17:42
fonte
1

L'invio di un'email a un utente per consigliare problemi di sicurezza non è sempre la migliore idea.

  • L'account email dell'utente potrebbe essere compromesso, ad es. se vengono usati gli stessi dettagli (che molti fanno);
  • L'account email dell'utente potrebbe essere stato compromesso e ha cambiato l'indirizzo email in risposta;
  • L'utente può respingere l'email come spam o tentativo di phishing.

Per quanto riguarda il motivo per cui alcuni servizi non impongono una modifica della password. Questo inevitabilmente scende senza compromettere l'usabilità: se un cliente ritiene che il lavoro necessario sia più problematico di quanto valga, hai perso un cliente. Se offri ai clienti la scelta, se per qualsiasi motivo i loro dettagli vengono utilizzati maliziosamente, almeno il cliente ha la possibilità di cambiarli ma non lo fa.

    
risposta data 21.05.2014 - 17:48
fonte

Leggi altre domande sui tag

Quale è considerato il primo incidente di Cyber Security? [chiuso] 8 byte extra nello stack