¿Se debe autorizar al usuario en el sitio después de seguir la URL de confirmación de cambio de correo electrónico?

Navega tus respuestas
2

Cuando los usuarios activan el cambio de correo electrónico, enviamos un enlace a su nueva dirección de correo electrónico.

Si el usuario sigue el enlace, ¿deberíamos continuar con el cambio de correo electrónico después de la autorización (el inicio de sesión en el sitio), o podemos cambiar el correo electrónico como en el flujo de restablecimiento de contraseña?

Probablemente tendríamos que agregar un botón de CTA (tal vez reCaptcha) para evitar el rastro de correos electrónicos.

¿Qué otras implicaciones de seguridad podrían existir en el escenario de no autenticación?

    
pregunta Mārtiņš Briedis 07.11.2018 - 18:23
fuente

1 respuesta

1

Si no tiene un paso de autorización en la confirmación, si el usuario escribe mal el correo electrónico y una persona no autorizada obtiene el enlace y lo confirma, la persona no autorizada puede obtener acceso completo a la cuenta a través de la función "Olvidé mi contraseña" .

Esto me pasa todo el tiempo. La gente usa mi dirección de correo electrónico por error cuando se registra para recibir cosas. Puedo confirmar el correo electrónico y luego podría restablecer su contraseña.

Usted pensaría que el usuario lo notaría, pero recibo una docena de correos electrónicos diarios destinados a otras personas que no se han dado cuenta de que un servicio me está enviando su información. (No puedo hacer un cambio por mi cuenta porque eso significaría obtener acceso no autorizado a la cuenta del usuario).

    
respondido por el schroeder 07.11.2018 - 18:34
fuente

Lea otras preguntas en las etiquetas

Períodos en la enumeración de plataforma común WFN (NIST Interagency Report 7695) Bloqueo de cuenta para proteger de la fuerza bruta: ¿no abre vulnerabilidades a los ataques de DOS? [duplicar]