¿La instalación de un sitio web de 'restablecer contraseña' entrega demasiada información?

4

Si un sitio web tiene una función de restablecimiento de contraseña (que enviará por correo electrónico al titular de la cuenta un enlace de restablecimiento) , ¿revela esta instalación demasiada información al permitir que alguien investigue quién posee una ¿Cuenta al ingresar varias direcciones de correo electrónico?

En una pantalla de inicio de sesión puede evitar revelar quién tiene una cuenta dando un mensaje genérico de "Correo electrónico o contraseña incorrecta" cuando se ingresan detalles incorrectos. Lo que podría significar que una cuenta no existe o que la contraseña es incorrecta.

La única forma en que puedo pensar en no revelar quién tiene una cuenta a través de un enlace de restablecimiento de contraseña es proporcionar un mensaje genérico que diga "Se le ha enviado un enlace de restablecimiento a su dirección de correo electrónico, si tiene una cuenta, de lo contrario Tendrá que crear una nueva cuenta "o palabras a tal efecto, ya sea que se envíe o no un enlace de restablecimiento.

    
pregunta Peter Bridger 08.11.2012 - 12:10
fuente

3 respuestas

5

Usted ya respondió la pregunta: la única forma de no revelar información es mostrar un mensaje genérico "Se ha enviado un mensaje a @ bc" después de solicitar un restablecimiento de la contraseña, incluso si no hay una cuenta asociada con eso. correo electrónico. Consulte también Esta pregunta para obtener detalles adicionales.

    
respondido por el twobeers 08.11.2012 - 15:02
fuente
0

Sí, podría ser, pero el propietario de la aplicación podría limitar el número de intentos de direcciones IP particulares. Otra capa podría ser que la validez de la dirección de correo electrónico ingresada podría verificarse en la base de datos de la aplicación. Otra posibilidad es pedir la dirección de correo electrónico dos veces y deshabilitar el portapapeles en el segundo campo, por lo que siempre debe escribirse manualmente.

De lo contrario, tienes toda la razón.

    
respondido por el sh4d0w 08.11.2012 - 14:48
fuente
0

¿Está protegiendo las cuentas bancarias de las personas involucradas en transacciones ilícitas? Si es así, entonces permitir que un adversario obtenga las direcciones de correo electrónico / credenciales es probablemente imprudente.

¿Está protegiendo mis preferencias de visualización en un sitio web público? Si es así, entonces la función de "restablecer contraseña" es aburrida.

Como alguien más ha dicho, todos los controles de seguridad tienen un costo; el arte es equilibrar costo, riesgo y consecuencia.

    
respondido por el Mark C. Wallace 08.11.2012 - 15:29
fuente

Lea otras preguntas en las etiquetas