La documentación de Devise indica que "For Por motivos de seguridad, a veces es necesario notificar a los usuarios cuando cambian sus contraseñas ". En general, ¿cuándo necesitaría proporcionar dicha notificación y por qué?
La documentación de Devise indica que "For Por motivos de seguridad, a veces es necesario notificar a los usuarios cuando cambian sus contraseñas ". En general, ¿cuándo necesitaría proporcionar dicha notificación y por qué?
En la mayoría de los sitios web que uso, especialmente para mi 401 (k), recibo un correo electrónico cada vez que cambio los cambios de contraseña. Dado que es algo que afecta mi futuro financiero, lo aprecio, así que sé de inmediato si la contraseña debía cambiar y no la inicié.
En respuesta a su pregunta, depende. Para un sitio web que solo quiere que la gente inicie sesión por alguna razón (como una pizzería que no almacena la información de mi tarjeta de crédito o la dirección), puede que no sea un gran problema notificar a las personas sobre un cambio de contraseña. Para cualquier cosa con problemas de privacidad o seguridad, como la seguridad médica, financiera, de TI, cualquier cosa que tenga que ver con niños menores de edad u otros sistemas similares, diría que la notificación de todos los cambios de contraseña, de inmediato, sería obligatoria. Para los repositorios de códigos, me gustaría saber si alguien inicia sesión como yo para evitar el robo de mi propiedad intelectual personal o de mi empresa. Para eso, enviaría una notificación de restablecimiento de la contraseña para que el usuario pueda asegurarse de que el código que está cargando / descargando se haga desde el repositorio correspondiente.
Depende de tu sistema. Si el restablecimiento de la contraseña se produce a través de un enlace de correo electrónico generado, no tiene ningún propósito enviar otro correo electrónico después.
Si la contraseña se cambia a través de una interfaz de aplicación, se debe notificar al usuario. Las credenciales antiguas podrían haberse utilizado para acceder a la aplicación o al acceso forzado brutal.
Informar a un usuario los involucra dentro de la seguridad de su propia cuenta y ayuda a detectar el comportamiento que puede pasar por alto.
No hay requisitos de cumplimiento que conozca para este mecanismo, pero cualquier cosa que haga que los usuarios sean responsables de su seguridad es algo bueno.
Lea otras preguntas en las etiquetas passwords password-management password-reset