El caso de uso es para evitar cualquier ataque de diccionario en el flujo de contraseña olvidada, donde el atacante puede activar cualquier no. de correos electrónicos usando el flujo de contraseña de olvidar.
El caso de uso es para evitar cualquier ataque de diccionario en el flujo de contraseña olvidada, donde el atacante puede activar cualquier no. de correos electrónicos usando el flujo de contraseña de olvidar.
Un usuario que selecciona el botón 'Olvidé mi contraseña' solo debe poder ingresar una dirección de correo electrónico válida y solo debe interactuar con el sistema para restablecer la contraseña a través del enlace proporcionado en esa dirección.
Además, el enlace proporcionado debe tener asignado un valor de tiempo de espera, por lo que solo es válido como máximo 30 minutos como máximo. Si un atacante ya ha comprometido un correo electrónico de usuario válido que se utiliza para iniciar sesión, no hay mucho que se pueda hacer y esa persona no tendría que forzar el inicio de sesión con fuerza bruta.
Pero, para detener los inicios de sesión de fuerza bruta, simplemente ponga un límite de intentos fallidos antes de que ya no se permita a la dirección IP intentar iniciar sesión
Lea otras preguntas en las etiquetas password-policy