Quanto può essere semplice una password quando l'unico dato dell'account è l'indirizzo e-mail?

Naviga le tue risposte
0

Ho un caso in cui l'unico dato memorizzato sull'account utente è il suo indirizzo email. Il mio cliente vuole evitare password complicate perché il pubblico è giovane. Alcuni dei miei colleghi vogliono ancora applicare buone regole di sicurezza per la password. Ma in ogni caso l'accesso richiede la combinazione di indirizzo email / password (nessun nome utente).

Voglio dire: quali sono i vantaggi di un account altamente sicuro che contiene solo l'indirizzo email dell'utente quando l'utente deve fornire il proprio indirizzo email per accedere comunque?

Grazie per i tuoi pensieri! Marion.

    
posta Marion 17.01.2017 - 19:53
fonte

2 risposte

1

Forse il modo migliore di pensare a questo è, se un utente non autorizzato ha trovato un nome utente e una password e ha effettuato l'accesso, quanto sarebbe male? Se la tua affermazione è vera:

the only data stored on the user account is his email address.

quindi questo implica che una volta effettuato l'accesso, l'intero sito sia di sola lettura. In altre parole, l'autenticazione consente di accedere a determinati contenuti che altrimenti non sono disponibili al pubblico. Se quel contenuto diventasse pubblico, ti perderebbe il sonno? In caso contrario, probabilmente non è un grosso problema dal punto di vista della sicurezza del tuo sito per consentire password semplici, poiché non hai nulla da proteggere.

Detto questo, ecco alcuni motivi per cui non dovresti consentire password facili anche se soddisfa i criteri di cui sopra:

  1. Sopra ho specificamente enfatizzato la sicurezza "del tuo sito" perché il tuo sito potrebbe essere sicuro, ma vuoi anche proteggere i tuoi utenti. Se un utente malintenzionato è in grado di indovinare la password facile di un utente, ha probabilmente imparato qualcosa sull'utente. Forse la persona usa la stessa password su un altro sito Web o come password per il proprio telefono, ecc. Queste informazioni nelle mani di un utente malintenzionato potrebbero potenzialmente danneggiare l'utente. Nota che puoi aggirare questo problema creando password per loro invece di lasciargli scegliere il proprio.
  2. Se un utente malintenzionato non conosce alcun indirizzo email, avere una password semplice rende più facile indovinare una combinazione di email / password e quindi scoprire gli indirizzi email. (Questo è il motivo esatto per cui gli errori di accesso al sito web non dovrebbero dire "L'indirizzo email non è stato trovato", ma piuttosto "La combinazione email / password non è stata trovata" .Vuoi proteggere dagli aggressori che tentano di estrarre email.)
  3. Che cosa succede se in futuro deciderai di aggiungere funzionalità al sito web? Ad esempio, potresti voler consentire alle persone di postare commenti o "mi piace" qualcosa. Quindi memorizzerai dati specifici per una persona e avresti altro da proteggere, e potrebbe essere una seccatura cambiare il tuo sistema di password una volta che il sito è stato implementato e utilizzato da molte persone.

In sintesi, sono d'accordo con i crovers. Ti consigliamo anche di utilizzare password complesse o un metodo di autenticazione diverso.

    
risposta data 17.01.2017 - 21:08
fonte
0

Invece di fare password, considera altre opzioni, come i link inviati via email alla posta elettronica. Stai sfruttando la protezione del sistema di posta elettronica, evitando di dover memorizzare correttamente le password, evitando ai tuoi utenti di doverne ricordare uno (o, peggio ancora, riutilizzarne uno con te).

Altre opzioni includono integrazioni su Twitter, Facebook o Google, con OpenID o OAuth.

Se non sei soddisfatto delle password, utilizza un'opzione diversa. Ma se hai intenzione di usare password, usa quelle forti.

    
risposta data 17.01.2017 - 19:56
fonte

Leggi altre domande sui tag

Sorgente ufficiale per netcat per Windows? Attenuazione dell'XSS assicurando che nessuna lettera sia dopo una parentesi angolare [duplicato]