¿Debería poder restablecer una contraseña sin verificar primero la dirección de correo electrónico?

4

Acabo de darme cuenta de Instagram, lo que puedes hacer es:

  1. Desde la aplicación de Instagram registrada, cambia tu dirección de correo electrónico. Esto enviará un enlace de verificación a la nueva dirección de correo electrónico.
  2. La verificación de la dirección de correo electrónico requiere que inicie sesión cuando haga clic en el enlace.
  3. Desde cualquier pantalla de inicio de sesión (navegador de escritorio o aplicación para teléfono inteligente), puede solicitar restablecer su contraseña con la nueva dirección de correo electrónico antes de verificar la dirección de correo electrónico.
  4. Esto enviará un enlace de restablecimiento a la nueva dirección de correo electrónico, que puede usar para restablecer la contraseña y luego verificar la nueva dirección.

Por lo tanto, esto requiere que ya tenga acceso a las personas que han iniciado sesión en la cuenta de Instagram (por ejemplo, si dejan su teléfono tirado).

¿Se trata de un problema de seguridad grave o asume que acceder a un teléfono ya es una violación de la seguridad?

Más detalles aquí: enlace

    
pregunta dwjohnston 01.06.2015 - 06:16
fuente

1 respuesta

3

Sin duda, dejar el acceso a su teléfono mientras está conectado a un servicio es una violación de seguridad, pero también veo algunos errores en la parte de Instagram aquí:

  1. No solicita la contraseña al modificar la dirección de correo electrónico asociada a la cuenta
  2. Enviando la verificación de la nueva dirección de correo electrónico a la nueva dirección de correo electrónico , en lugar de la dirección de correo electrónico anterior (o tanto la dirección antigua como la nueva)

El punto # 1 debe implementarse en cualquier entorno que sea mínimamente consciente de la seguridad. Si no se implementa, el punto # 2 sirve para mitigar este tipo de ataques.

    
respondido por el dr01 01.06.2015 - 10:09
fuente

Lea otras preguntas en las etiquetas