Ho implementato una funzione di reimpostazione della password per un sito Web su cui sto lavorando. Di default, la funzione è molto veloce e mi chiedo se sarebbe utile, da un punto di vista della sicurezza, rallentarla intenzionalmente un po '.
Sto pensando di aggiungere semplicemente una chiamata a riposo all'inizio dell'azione del controller.
Il mio ragionamento è che un utente che sta veramente tentando di reimpostare la propria password, probabilmente non sarà disturbato aspettando altri 5 secondi in più, per ricevere la conferma che l'e-mail di reimpostazione della password è stata inviata. Comunque questi 5 secondi in più, spero possano aiutare a rallentare un bot.
Uno dei motivi principali per cui voglio farlo, è perché in precedenza la funzione di reset non forniva alcuna indicazione se è stato inserito un nome utente non valido. Questo per impedire che utenti malintenzionati tentassero di trovare nomi utente validi. Mi è stato chiesto di cambiarlo anche se gli utenti lo trovavano confuso.
Poiché ora è possibile utilizzare la funzione di reset per determinare se un nome utente è valido, volevo un ulteriore livello di sicurezza per impedire l'uso dannoso.