Domande con tag 'password-reset'

domande con tag
2
risposte

Quando e perché inviare una notifica via e-mail di reimpostazione della password

La documentazione di Devise afferma che "Per scopi di sicurezza, a volte è necessario informare gli utenti quando cambiano le loro password. " In generale, quando è necessario fornire tale notifica e perché?     
posta 31.01.2018 - 21:01
6
risposte

Reimpostazione della password: ID utente e timestamp con firma crittografica o valore generato casualmente?

Quali sono i pro e i contro dei diversi modi di gestire i link di ripristino? Vedo due modi per gestirli: Genera una stringa casuale, ad esempio con uuid4. Memorizzalo nel database con l'utente e invialo in un link all'utente. Quando il modu...
posta 06.01.2017 - 20:47
2
risposte

Quanto tempo dovrebbe rimanere valido un token di reimpostazione della password?

Qual è la durata di vita raccomandata di un token di reimpostazione della password? Troppo breve degraderà l'esperienza utente e troppo a lungo comprometterebbe la sicurezza. Microsoft identity predefinito per un giorno, ma molto lungo....
posta 23.11.2018 - 11:47
1
risposta

Memorizzazione del token di reimpostazione della password nel DB: quali sono le implicazioni?

In più sistemi che ho creato / supportato Ho visto che la gestione utenti effettua le seguenti operazioni per la reimpostazione della password: generato un token di reimpostazione della password tramite un metodo di hashing e invia tramite e-mai...
posta 06.12.2018 - 16:47
2
risposte

È male lasciare che gli amministratori cambino l'e-mail degli utenti quando ripristinano le password?

Sono confuso su come implementare la funzionalità di reimpostazione della password. Sto testando un'applicazione Web con due ruoli: amministratore e utente normale. Solo gli amministratori possono utilizzare la funzionalità di reimpostazione del...
posta 09.01.2018 - 21:04
1
risposta

Come richiedere in modo sicuro ulteriori informazioni personali / verifica dell'account?

Poiché è una cattiva pratica chiedere agli utenti di fare clic su un URL all'interno di un messaggio di posta elettronica per verificare la propria identità a causa di problemi di phishing, qual è il modo migliore per chiedere a un utente che si...
posta 09.08.2016 - 22:07
1
risposta

Come superare il rischio che l'account venga compromesso usando OTP quando viene rubato un dispositivo mobile

Qual è il modo preferito per fornire una funzionalità di "reimpostazione della password" per un'applicazione installata su un dispositivo mobile? Nelle applicazioni mobili, in genere la reimpostazione della password funziona inviando l'OTP al...
posta 06.07.2016 - 09:07
5
risposte

Utilizzo dell'hash della password come token di ripristino

Ho avuto questa idea, che invece di generare un token di reimpostazione della password e inviarlo via e-mail all'utente, ho semplicemente inviato via email la password con hash dell'utente. Quindi, al ripristino, l'utente invierà la vecchia pass...
posta 28.08.2017 - 00:47
3
risposte

È sicuro inviare un link per il recupero della password per l'applicazione aziendale all'indirizzo personale di un dipendente?

Vorrei automatizzare il recupero della password per i dipendenti di un'azienda. Tuttavia, il problema è che non tutti i dipendenti hanno un account e-mail aziendale e alcuni dipendenti non possono accedere alla loro e-mail aziendale, se hanno di...
posta 04.06.2016 - 11:27
1
risposta

In che modo il nuovo recupero delegato di Facebook è più sicuro rispetto a un sistema di recupero tradizionale

Stavo leggendo il recupero della password delegato processo introdotto da Facebook. Sto cercando di mettere in relazione l'intero processo con i tradizionali meccanismi di recupero della password (ad esempio, inviando una email di reimposta...
posta 02.02.2017 - 12:09