En una página de "olvidé mi contraseña", ¿es apropiado cuando el usuario no tiene una cuenta para mostrar el mensaje "esta cuenta no existe"? O por motivos de seguridad, ¿debería mostrar un mensaje de éxito ("recibió un correo electrónico con un proceso de restablecimiento de contraseña") incluso si no se envió ningún correo electrónico?
La respuesta a esto depende de la naturaleza del sitio. De hecho, creo que los beneficios de UX de decirles si la información proporcionada es correcta o no, pero solo si no afecta la seguridad.
Hay muchos sitios en los que puedes enumerar los nombres de usuarios de varias maneras, y son así por diseño. Por ejemplo, si desea enumerar los nombres de usuario de Twitter, puede hacerlo fácilmente viendo si la página del usuario estaba disponible en enlace . Incluso si eso no fuera posible, Twitter proporciona una pequeña API para acceder a las listas de usuarios.
Sin embargo, esto obviamente no funciona para un sitio que es incluso de naturaleza ligeramente sensible. Si su sitio se encuentra en esta categoría y no hay otra forma de enumerar los nombres de usuario / correos electrónicos, siga su instinto y envíe el mensaje genérico de que enviará un correo electrónico.
Desde el punto de vista de la usabilidad, es horrible mostrar un mensaje genérico sin importar si se encontró el nombre de usuario / correo electrónico ingresado o no. Es extremadamente molesto si no sabe con seguridad qué nombre de usuario / correo electrónico utilizó.
Sin embargo, hay una manera fácil de mantenerlo fácil de usar y al mismo tiempo no permitir que los usuarios enumeren cuentas:
Proporcione campos tanto para el nombre de usuario como para el correo electrónico y requiera solo uno de ellos. Si se ingresó una dirección de correo electrónico, envíe un correo electrónico a esa dirección con la información necesaria. Si ingresó un nombre de usuario, envíe un correo electrónico a la dirección que almacenó para ese nombre de usuario.
Si bien esto puede permitir que las personas activen correos electrónicos de restablecimiento de contraseñas para otros usuarios por accidente, no es un gran problema. Después de todo, el correo electrónico solo debe contener un enlace a un formulario que permita restablecer una contraseña y no cambiarla inmediatamente. uno al azar.
Los usuarios genuinos de la aplicación pueden encontrarlo confuso si entrega el mensaje como "recibió un correo electrónico con un proceso de restablecimiento de contraseña"
En mi opinión, para evitar la enumeración de usuarios, también puede agregar una pregunta de seguridad.
Me gusta agregar una opción para verificar la fecha de nacimiento, o un detalle que un atacante aleatorio pueda encontrar difícil de responder.
Para las combinaciones no coincidentes, puede asegurarse de que se muestre un mensaje de error como " combinación no coincidente ". Eso confundirá al atacante. Pero un usuario genuino encontrará su manera de usar el siguiente intento.
Para evitar una fuerza bruta, también puede habilitar CAPTCHA y un bloqueo temporal equilibrado por un pequeño período de tiempo basado en el número de intentos falsos.
Desde un punto de vista de seguridad y privacidad, es mejor decir:
"Si se localizó su cuenta, se enviará un correo electrónico con instrucciones para restablecer su contraseña".
Sin embargo, eso obviamente no es útil para alguien que no está seguro con qué correo electrónico o nombre de usuario se registró.
Pero sacrificaría un poco la conveniencia del usuario para proporcionar seguridad y privacidad adicionales. Entonces, en otras palabras, no digas algo como "esa cuenta no existe".
Lea otras preguntas en las etiquetas web-application asp.net user-interface