I token sicuri vengono inviati via e-mail sicuri? [duplicare]

0

Sono in difficoltà con la funzione di reimpostazione della password di un'app Web, il modo in cui sono propenso a farlo è l'invio di un URL basato su token alla e-mail dell'utente e l'utente può accedere e reimpostare la sua password, ma la posta elettronica è un modo affidabile per trasportare dati così sensibili?

    
posta danillosl 11.05.2015 - 20:35
fonte

1 risposta

1

"è l'e-mail un modo affidabile per trasportare dati così sensibili" No.

Molti siti Web lo fanno? Sì.

Il vantaggio è di rendere il collegamento utilizzabile una sola volta e richiede all'utente di scegliere immediatamente una nuova password. In questo modo, se un utente malintenzionato intercetta l'e-mail e lo utilizza per dirottare l'account, quando l'utente legittimo fa clic sul collegamento in un secondo momento, riceverà un messaggio di errore e saprà che qualcosa non funziona. Come accennato da @Xander, questo è tutt'altro che ideale, ma almeno è qualcosa.

Se desideri una maggiore sicurezza, pensa di aggiungere un secondo fattore allo strumento di reimpostazione della password, ad esempio l'invio di un codice per l'SMS dell'utente o "dov'era nata tua madre?" digita le domande di sicurezza o uno degli altri metodi standard di secondo fattore (dovrebbe essere in grado di ottenere una buona lista da Google).

    
risposta data 11.05.2015 - 20:47
fonte

Leggi altre domande sui tag