¿Debe tener acceso completo a la cuenta cuando olvida su contraseña?

5

Imagina el siguiente escenario:

  • Voy a iniciar sesión en MyApp.com, pero me di cuenta de que olvidé mi contraseña.
  • Solicito una nueva contraseña enviada a mi correo electrónico.
  • El correo electrónico llega con un enlace para cambiar la contraseña (pero no se envía ninguna contraseña).
  • Al hacer clic en el enlace me lleva a una pantalla de cambio de contraseña, pero también me registra en la cuenta, lo que me da acceso completo a toda la información de la cuenta. De hecho, ni siquiera necesito cambiar la contraseña en ese momento.

¿El escenario anterior representa un riesgo de seguridad de alguna manera? ¿Si es así, cómo? ¿Y cuál es la forma en que debería manejarse en su lugar?

    
pregunta VirtuosiMedia 19.12.2011 - 23:38
fuente

1 respuesta

2

Bueno, parte del procedimiento podría considerarse inseguro: cuando un usuario tiene acceso a su cuenta de correo electrónico Y sabe en qué sitios web puede haber registrado cuentas (como FaceBook, Twitter, Google y el lote). Este es probablemente el problema de seguridad más simple y obvio que pueda surgir aquí.

También podríamos echar un vistazo a las preguntas "¿se puede interceptar el correo electrónico de alguna manera" y "es ese enlace de recuperación usando una clave fuerte y aleatoria o alguien podría adivinarlo" ... pero supongo que eso es una exageración? Para el escenario habitual de recuperación de contraseñas que describió, diría que el único "problema de seguridad" real es el que describí anteriormente: alguien tiene acceso a su correo electrónico y sabe qué sitios debe revisar y recuperar sus contraseñas.

En cuanto al daño que podría causarse ... eso depende de los sitios web para los que el "intruso" puede recuperar contraseñas. Probablemente no le importará perder su cuenta de Twitter en el peor de los casos, pero esto muestra por qué las cuentas bancarias en línea no ofrecen ese tipo de "recuperación de contraseña" en primer lugar. "Podría" haber una posibilidad de que alguien te esté mirando por encima del hombro.

Para terminar, dale una pista sólida con la que trabajar: si su MyApp.com es algo que podría arruinar financieramente a las personas si las pone en las manos equivocadas, no use este tipo de recuperación de contraseña ... pero si Al crear el próximo Facebook o Twitter, está listo para seguir este procedimiento de recuperación.

Espero que ayude. ;)

    
respondido por el user6373 20.12.2011 - 01:33
fuente

Lea otras preguntas en las etiquetas