Domande con tag 'password-reset'

domande con tag
1
risposta

Che cos'è un attacco per la reimpostazione della password "Swap cookie"?

Sto guardando su Blackhat corsi di formazione app e googling. Citano un tipo di attacco per "Password Reset Attacks" noto come "Swap cookie"; vedi qui . Anche se non mi piace fare questo tipo di post non riesco a trovare nulla su questo tipo...
posta 04.10.2018 - 04:50
6
risposte

Hai dimenticato la password e hai rivelato se l'account esiste [duplicato]

Quindi quando clicchi il link per la password dimenticata e inserisci il tuo indirizzo email, sembra che i siti (e altri programmatori con cui ho parlato) siano uno di questi due modi di pensare; Notifica all'utente se l'indirizzo e-mail c...
posta 29.08.2015 - 03:25
2
risposte

Esiste un valore nel cambiare la password dopo tentativi di accesso non riusciti (dannosi)?

Ho appena ricevuto un'e-mail da Citi che diceva "Abbiamo bloccato l'accesso per 24 ore a causa di più tentativi di accesso non riusciti." e "Se non hai tentato questi accessi, ti consigliamo di reimpostare la password immediatamente." Ignoran...
posta 28.06.2018 - 18:02
1
risposta

Se il mio telefono per l'autenticazione a due fattori viene rubato, l'utente malintenzionato può accedere al mio account tramite una reimpostazione della password?

Supponiamo di aver impostato un account online con 2FA sul mio telefono e che un utente malintenzionato abbia accesso al mio telefono. Il mio telefono è collegato al mio account e-mail. L'utente malintenzionato conosce il nome utente dell'accoun...
posta 24.06.2017 - 00:30
1
risposta

token JWT singolo con reclamo ID JWT

Sto cercando di capire come emettere un token JWT monouso per la funzione di reimpostazione della password e mantenerlo stateless. Sono stati visualizzati token monouso w / JWT che suggeriscono fondamentalmente di includere l'hash della passwo...
posta 13.03.2017 - 20:51
1
risposta

Alternative a SMS come canale out-of-band

Sto guardando la funzionalità di reimpostazione della password per un progetto su cui sto lavorando. Osservando le linee guida OWASP, suggerisce di utilizzare SMS come canale fuori banda per questo. ( link ) Tuttavia, il NIST sembra sconsigli...
posta 18.09.2017 - 13:44
2
risposte

Un link di "reimpostazione della password" dovrebbe essere valido dopo aver cambiato l'e-mail?

Ecco lo scenario: Il tuo account ha più link "password reset" attivi nel mondo. Scadono dopo 24 ore e dopo aver cambiato la password. Invece di cambiare la password, puoi modificare l'indirizzo email del tuo account. I link per la reimpost...
posta 24.04.2018 - 18:51
1
risposta

Nome utente / Email dimenticati - Le credenziali extra sono uguali per poter accedere all'utente?

Sto lavorando con un altro utente di UX e mi ha fatto sapere che ci sono stati alcuni studi sul fatto che quando una persona passa attraverso un processo di "username / email dimenticati", inserisce informazioni extra e che questa informazione e...
posta 07.04.2015 - 16:52
1
risposta

token di sicurezza multiuso una vulnerabilità di sicurezza?

La nostra applicazione ha il concetto di token di sicurezza. Si tratta di stringhe generate casualmente e crittograficamente sicure utilizzate durante la generazione di e-mail di reimpostazione della password, nonché di conferme e-mail per altre...
posta 03.11.2016 - 23:40
3
risposte

Devo permettere agli utenti di scegliere le proprie domande segrete per la reimpostazione della password?

Sto costruendo un'applicazione web e sto effettivamente scrivendo un codice che consente agli utenti di scegliere la loro domanda segreta e la loro risposta usata per identificarli se dimenticano le loro password. Sono un po 'confuso qui perc...
posta 29.03.2016 - 09:44