¿Mensajes de error informativos en la funcionalidad de restablecimiento de contraseña?

4

Cuando estoy implementando la funcionalidad de restablecimiento de contraseña, generalmente no incluyo mensajes informativos sobre si se encontró un usuario, porque siempre he creído que puede llevar a la enumeración de nombres de usuarios. Así que en lugar de mostrar:

Account with email "[email protected]" not found.

muestra un mensaje ambiguo como:

Please check your email for instructions on how to reset your password.

independientemente de si se encontró una cuenta o no.

¿Esto es una exageración o una buena práctica?

    
pregunta Abe Miessler 09.03.2016 - 17:29
fuente

1 respuesta

6

Esta es la mejor práctica actual, como recomendado por OWASP . Sin embargo, una cosa que a menudo se pasa por alto es que los valores de retorno deben ser idénticos: el diseño y el código HTML subyacente para una página deben ser iguales para cada uno. No es suficiente simplemente proporcionar el mismo mensaje si puede abrir la fuente de la página y ver un comentario <!-- Failed password --> o <!-- Unknown email address --> . He visto estos en sitios en vivo.

    
respondido por el Matthew 09.03.2016 - 17:34
fuente

Lea otras preguntas en las etiquetas