Notifica via email sul blocco degli account

Naviga le tue risposte
0

Sto discutendo sul merito di una funzionalità richiesta per la nostra applicazione web.

La richiesta richiede l'emissione di un messaggio di posta elettronica a un utente quando un account è bloccato. Gli account sono bloccato dopo 5 tentativi falliti. Per ogni tentativo fallito l'utente viene semplicemente informato di un nome utente / password non valido e non viene indicato che l'account è bloccato sul front-end, per mitigare l'enumerazione del nome utente.

I miei punti contro questa richiesta sono

  1. Sto suggerendo che la funzione potrebbe aprire il sistema di posta elettronica per attaccare bloccando tutti gli account degli utenti ed emettendo email in massa assumendo che qualcuno conosca tutti i nomi utente.

  2. La funzionalità non aggiunge valore all'utente, in quanto il nostro prodotto offre una buona capacità di password dimenticata.

Qualche idea, raccomandazione o standard del settore. Da quanto ne so fino a quando una funzionalità sicura che consente all'utente di avviare password dimenticata dovrebbe essere sufficiente.

    
posta Darragh 22.11.2016 - 11:37
fonte

1 risposta

1

L'aggiunta della funzione richiesta dall'utente non sembra aggiungere alcuna vulnerabilità di sicurezza al flusso corrente di cose.

I am suggesting the feature could possibly open the email system to attack by locking all users accounts and issuing emails on mass assuming someone knows all usernames.

La funzione "username / password dimenticata" invia una e-mail all'utente con un link di reimpostazione della password? In questo caso, un utente malintenzionato che conosce il nome utente potrebbe ancora forzare la vittima a ricevere una diversa categoria di e-mail, avviando molte e-mail di reimpostazione della password un paio di volte

Feature does not add value to the user, as our product provides a nice forgotten password ability.

In linea con il commento di Matthew, l'utente medio molto probabilmente non sa perché non è in grado di accedere correttamente. A meno che non lo sappiano esplicitamente a causa di un blocco, molto probabilmente incolperanno l'applicazione.

Inoltre, non è mai male avere una misura in atto che non guasta gli utenti bloccati con ripetute email "bloccate". Una e-mail con le informazioni necessarie sull'account da bloccare dovrebbe essere sufficiente. L'utente che non agisce sull'e-mail è di per se stesso. Oltre a ciò, come dici tu, potrebbero sempre accedere alla funzione di password dimenticata.

    
risposta data 22.11.2016 - 18:12
fonte

Leggi altre domande sui tag

Attaccare (o persino eseguire il ping) un dispositivo su una rete su una VLAN diversa Tutorial Protezione video su un tablet