Perché inserire di nuovo (o almeno confermare) il mio indirizzo email quando faccio clic su "Password dimenticata"?

0

Nella maggior parte dei casi, se non tutti, i moduli web per l'accesso a un sito, hai il link della password dimenticata. Quando si fa clic sul collegamento, si ottiene un nuovo modulo (di solito in una nuova pagina) vuoto (!) O precompilato con l'indirizzo e-mail inserito nel modulo di accesso, in cui è necessario fare nuovamente clic per ottenere effettivamente il sito per inviare il ripristino collegamento password.

Penso che ciò che dovrebbe accadere è che quando si fa clic sul link della password dimenticata, viene automaticamente inviato un link per la reimpostazione della password. Quindi il testo del link cambia in "Reimposta il collegamento della password inviato a [email protected]" finché non inserisci di nuovo una password errata.

È peggiore in qualche modo rispetto alla procedura standard, per quanto riguarda la sicurezza?

PS: il lato UX della domanda qui .

PS2: Sto pensando a siti in cui il tuo nome utente è il tuo indirizzo email (di cui ci sono molti), altrimenti la risposta di BadSkillz punta a un rischio di perdita di informazioni molto valido che potrebbe essere mitigato modificando il messaggio.

    
posta Vinko Vrsalovic 20.08.2015 - 11:10
fonte

1 risposta

1

Ciò rende (in qualche modo) sicuro che tu sia realmente l'utente associato all'account, dovresti almeno sapere quale indirizzo email è stato utilizzato per creare l'account.

Il riempimento automatico dell'indirizzo e-mail potrebbe già dare a un utente malintenzionato l'opportunità di ottenere tutti gli indirizzi e-mail nel database, basta richiedere una nuova password per ogni account a cui si possa pensare. Lo stesso vale per mostrare il messaggio "è stata inviata un'email a [email protected]". Ora hai l'email associata all'account e il server ha inviato un'email. Immagina di farlo 1000.000 volte.

    
risposta data 20.08.2015 - 11:22
fonte

Leggi altre domande sui tag