Domande con tag 'password-reset'

5
risposte

In che modo attendere 24 ore per cambiare la password di nuovo essere sicuro?

Quindi sono riuscito a cambiare la mia password su un servizio con la password "sbagliata", per semplicità diciamo che l'ho cambiato con una password non sicura. Ora, volevo cambiarlo in una password più sicura, ma invece ho ricevuto un bel m...
posta 03.04.2017 - 11:36
8
risposte

Perché dovresti reindirizzare l'utente a una pagina di accesso dopo la reimpostazione della password?

Il foglio Cheat della password dimenticata OWASP suggerisce: Whenever a successful password reset occurs, the session should be invalidated and the user redirected to the login page Non riesco a capire perché questo sia così importante...
posta 10.11.2015 - 14:57
10
risposte

I difetti di sicurezza sono accettabili se non ne derivano molti danni?

Recentemente, ho scoperto un difetto di sicurezza in un sito web aziendale. Questo sito Web ha una "Area partner" protetta da password e, come molti siti Web, fornisce un modulo per reimpostare la password dell'utente. Quando un utente chiede...
posta 24.07.2016 - 23:27
4
risposte

Come implementare la funzionalità "password dimenticata"?

Per il mio progetto ho bisogno di una funzionalità " cambia password ". Non sono ancora sicuro di come implementare questo tipo di funzionalità, quindi speravo di trovare alcune "best practice" su Internet, ma non ho trovato nulla di utile ch...
posta 18.03.2016 - 11:13
5
risposte

Devo registrare che un utente ha cambiato la password?

Ci sono problemi di sicurezza con la registrazione che un utente ha cambiato la sua password? Sto già registrando ogni volta che un amministratore cambia la password di un utente a scopo di controllo, ma c'è un motivo per non avere un log quando...
posta 15.05.2018 - 15:03
10
risposte

Come trovare un equilibrio tra politiche di sicurezza e sfide pratiche di implementazione? [duplicare]

Presso la nostra organizzazione, abbiamo riscontrato alcuni incidenti frequenti quali: Segnalati attacchi di indovinamento password riusciti Reclami frequenti di reimpostazione della password Abbiamo avviato un'indagine per identi...
posta 01.07.2018 - 11:19
2
risposte

I token di reimpostazione della password devono essere sottoposti a hash quando sono archiviati in un database?

Le password vengono sottoposte a hashing in modo che se qualcuno accede a un database di password, non sapranno quali sono le password effettive e quindi non potranno accedere. Se tuttavia riesco a ottenere un token di reimpostazione della pa...
posta 26.04.2015 - 18:01
3
risposte

Perché i collegamenti di ripristino della password una volta sono più sicuri di una password?

Recentemente ho fatto domanda per un posto di lavoro in un'azienda che creava security-critical solutions for military, aerospace, ... Dopo essermi registrato sulla loro pagina web, ho ricevuto un'email con il mio nome utente e una pass...
posta 20.01.2017 - 02:21
2
risposte

Esiste il rischio di inviare il nome utente in un'email di reimpostazione della password?

Stiamo utilizzando un CMS che ha una funzione di reimpostazione della password che funziona secondo le migliori pratiche disponibili. Le password vengono memorizzate come hash salati La password dimenticata funziona così: L'utente inseri...
posta 20.06.2013 - 16:00
3
risposte

Hai dimenticato la password: "La nuova password deve avere almeno 4 caratteri diversi dalla password precedente" [duplicato]

È stato trovato su una funzione di reimpostazione della password di un sito web governativo, in cui inserisci il tuo nome utente, quindi ti porta a una schermata dove puoi inserisci una nuova password inserisci la conferma della nuov...
posta 22.04.2017 - 05:46