Stavo leggendo questa risposta su una domanda.
Recently, at the OWASP AppSec 2010 conference in Orange County, Bill Cheswick from AT&T talked at length about this issue.
....
Allow a trusted party to vouch for the user, so he can change his password.
Certo, so che questo ha 6 anni a questo punto, ma ....
Ero curioso, c'è davvero qualche ulteriore sicurezza in questo? Per "parte fidata" si presume che sia un amico o qualcun altro che è già autorizzato o è un amministratore di sito / app?
Se qualcuno è bloccato fuori dal proprio account così tanto da non poter usare la propria e-mail o l'e-mail di backup per la propria e-mail principale, allora come si ripristinerebbe la propria password? Verrà fornito da questa "fonte attendibile" a un'altra e-mail, o eventualmente tramite telefono / testo (se amico).
Quindi esiste un modo in cui un hacker può violare l'account A, che garantisce l'account B, e quindi fare qualcosa di malevolo all'account B? Dice "Trusted party", quindi se la festa finisce per non essere considerata attendibile, qual è la cosa peggiore che potrebbe accadere?
So che alcuni giochi implementano i "Voucher" che hai guadagnato roba se ti confermi un amico e li porti al gioco, ma non ho mai visto un voucher responsabile nel caso in cui il loro amico fosse bloccato ...
Qualche commento verso questo? Grazie.