Propósito de tener un identificador en una comunicación de restablecimiento de contraseña

Navega tus respuestas
3

Un servicio particular que uso, cuando se me pidió restablecer la contraseña, me mostró un identificador en el sitio web, algo así como 4562708546, aparentemente aleatorio o secuencial.

Luego me enviaron una nueva contraseña por correo postal. Además de la contraseña (texto sin formato), la carta que recibí contiene el identificador (4562708546), y me pide que verifique que sea la misma que la que me mostró el sitio web . La carta no contiene el nombre de usuario.

He pensado un poco sobre esto y no puedo entender por qué lo hacen:

  • Solo se envió una sola letra, por lo que un MITM interesado en aprender la contraseña no necesita saber el identificador para saber la contraseña correcta
  • Podría evitar la malversación accidental en caso de que un usuario reciba una carta destinada a otra persona, pero no tendrían forma de iniciar sesión sin saber el nombre de usuario de la otra persona en primer lugar. Y si saben el nombre de usuario de la otra persona, probablemente no sea accidental .

¿Cuál podría ser el propósito de dicha verificación?

    
pregunta goncalopp 12.05.2016 - 23:03
fuente

1 respuesta

2

Permite identificar el intento de restablecimiento de contraseña

Supongamos que solicita un restablecimiento de contraseña (nueva contraseña: "12345"). Sin embargo, el correo electrónico de restablecimiento tarda en llegar y, después de esperar un tiempo, concluye si falla y realiza un segundo intento (nueva contraseña: "67890"). Mientras tanto, llega el primer correo electrónico. Abre el correo electrónico para restablecer la contraseña y le indica que ingrese la contraseña / token "12345" para recuperar su cuenta. Sin embargo, y para su frustración, simplemente no funciona, quejándose de que no es válido (¡pero tiene su correo electrónico frente a usted!) Debido al hecho de que, sin saberlo, ahora espera "67890".

Si existiera tal identificador (y usted lo comparó), podría notar que no es el mismo intento y esperar a que llegue el segundo correo electrónico. Incluso si ha recibido ambos correos electrónicos, el identificador podría permitirle seleccionar el correcto.

Personalmente, no parece un método muy apropiado. Recomendaría proporcionar una marca de tiempo en su lugar. El correo electrónico de restablecimiento de contraseña debería contener la marca de tiempo en la que se realizó el intento de restablecimiento para el registro. Mencionar "asegúrese de que el correo electrónico es para la solicitud de restablecimiento en xx / aa / zzzz hh: mm: ss" sería mucho más claro.

Otra opción es que está destinada a evitar que las personas sigan enlaces en correos electrónicos de restablecimiento de contraseña fraudulentos. Pero si no hiciste tal solicitud, entonces, por definición no tendrías ninguna para comparar, y por lo tanto, dudo que te proteja de cualquier cosa.

PS: además de lo anterior, deben enviarse por correo electrónico tokens, no contraseñas (o al menos obligarlas a cambiarse en el próximo inicio de sesión)

    
respondido por el Ángel 13.05.2016 - 00:49
fuente

Lea otras preguntas en las etiquetas

¿Se pueden restaurar los datos de un disco duro después de usar imanes para borrar los datos? [duplicar] Clasificación del riesgo asociado con usuarios específicos