¿Por qué después de restablecer la contraseña de un sitio web me piden que inicie sesión de nuevo?

Navega tus respuestas
2

Me he dado cuenta de que cada sitio web tiene exactamente el mismo comportamiento para sus páginas de restablecimiento de contraseña. Envían un enlace a su correo electrónico mediante el cual puede acceder a la página de restablecimiento de contraseña. En esa página ingresas la nueva contraseña. Hasta ahora tan bueno. Pero en este punto, siempre me piden que vuelva a iniciar sesión. ¿Por qué? Acabo de ingresar mi contraseña dos veces junto con mi inicio de sesión (correo electrónico, por supuesto, esto se hace implícitamente a través del enlace) Entonces, ¿por qué me piden que inicie sesión de nuevo? ¿Hay una razón de seguridad para esto que no estoy viendo? ¿O es solo una vieja práctica que parece persistir?

    
pregunta user220201 07.08.2014 - 06:27
fuente

5 respuestas

2

No hay razón para que esto no se pueda hacer técnicamente, y veo que el sitio ocasional lo hace. Pero requeriría la creación de un código adicional, por lo que es más económico permitirle manejar el inicio de sesión ;-)

Lo mismo ocurre con el enlace de confirmación cuando se registra: en la mayoría de los casos, todavía tiene que iniciar sesión (pero en este caso hay relativamente más sitios que inician sesión automáticamente, según mi experiencia).

    
respondido por el Jan Doggen 07.08.2014 - 09:33
fuente
2

Este comportamiento indica una buena práctica de seguridad: todas las sesiones se invalidan al cambiar la contraseña.

Quizás el usuario esté cambiando la contraseña porque la anterior ha sido comprometida. En ese caso, la invalidación de todas las sesiones ayuda a proteger al usuario.

Es cierto que no hay necesidad real de invalidar la sesión que realizó el restablecimiento de la contraseña. Pero un sitio web que requiere un inicio de sesión tiende a implicar que está siguiendo buenas prácticas de seguridad, mientras que los sitios web que no lo hacen tienden a no invalidar las sesiones en absoluto.

    
respondido por el paj28 07.08.2014 - 12:07
fuente
0

No estoy 100% seguro, pero, después de hacer clic en el enlace para restablecer la contraseña, por supuesto, se cambió su contraseña, lo que significa que no puede iniciar sesión con las credenciales que se proporcionaron con ese enlace o contraseña, sea la que sea. Las credenciales en las que se ha iniciado sesión en ese sitio web de alguna manera están caducadas. Y después de cambiar con éxito su contraseña, puede iniciar sesión con privilegios completos de su cuenta / perfil. Sin embargo, solo mi opinión

    
respondido por el mau5 07.08.2014 - 06:53
fuente
0

No hay absolutamente ninguna razón de seguridad para obligar al usuario a ingresar la contraseña nuevamente después de haberla cambiado. Quienquiera que establezca la contraseña la conoce ahora, por lo que también puede iniciar sesión.

Sospecho que la simple pereza o ignorancia: agregar un inicio de sesión automático requiere que el programador realmente piense sobre el problema y escriba un código adicional. Es más fácil hacer lo mínimo (cambiar la contraseña) y dejar todo lo demás en la página de inicio de sesión estándar.

    
respondido por el Fleche 07.08.2014 - 11:12
fuente
0

Posiblemente el motivo es que al iniciar sesión en el usuario como parte del proceso de restablecimiento de la contraseña, crea una nueva superficie de seguridad que debe auditar, además de "inicio de sesión estándar" y "restablecimiento de contraseña", ahora también tiene "iniciar sesión mientras se restablece la contraseña".

Al forzar al usuario a pasar por el proceso de inicio de sesión estándar, elimina ese problema, al hacer el inicio de sesión de la misma manera en el mismo lugar.

(Sí, la pereza del programador también es una gran parte de eso :-))

    
respondido por el Edheldil 07.08.2014 - 12:17
fuente

Lea otras preguntas en las etiquetas

¿Puede un sitio estático (solo HTML) ser vulnerable a XXE? ¿Sería útil un servicio principal grande?