Estoy teniendo una pelea con el "Experto en seguridad" de mi equipo sobre esta pregunta muy básica y necesito ayuda para obtener un buen argumento (s) válido.
El pretexto es el siguiente: ¿Debería ser posible / válido tratar de adivinar / contraseñas de fuerza bruta para cada usuario conocido de la aplicación, usando el enlace "Cambiar contraseña" para un solo usuario?
Le hice esta pregunta muy simple: Recibimos un enlace de "Cambiar contraseña" para cada cuenta cuando alguien solicita un cambio de contraseña, y parece que al usar ese enlace "Cambiar contraseña" se puede intentar adivinar la contraseña de todos y cada uno de los usuarios de la aplicación. ¿Esto es válido para la funcionalidad 'Cambiar contraseña'? Él dijo: "Sí, eso está bien"
Entonces, básicamente, cuando alguien solicita una opción de "Cambiar contraseña" de nuestro software, obtiene un enlace web. Ahora parece que al usar ese enlace es posible intentar realizar solicitudes de fuerza bruta para "Cambiar contraseña" para todos los usuarios de la aplicación. El punto de mi experto en seguridad es el mismo que también es posible desde la "Página de inicio de sesión" principal, ya que también se puede intentar forzar la modificación de la contraseña para cada usuario, por lo que es ajeno (¡¡¡contra cualquier necesidad de cambios !!) al "Cambio Contraseña "característica contra este problema. La misma lógica de detección de fuerza bruta se ubica debajo de la página "Cambiar contraseña" y de la página "Portal de inicio de sesión".
¡Por favor ayuda!