Iniciar sesión después del correo electrónico de restablecimiento de contraseña enviado (pero sin actuar)

Navega tus respuestas
1

¿Se debe permitir a un usuario solicitar un correo electrónico para restablecer la contraseña y luego iniciar sesión (es decir, ignorar el correo electrónico de restablecimiento y usar su contraseña existente) o debe bloquearse la cuenta actual hasta que se restablezca la contraseña?

Si deshabilitaste la cuenta, podría ver que un tercero abusaba de ella (es decir, solicitar un restablecimiento de contraseña para una cuenta que no es la suya) y dificultar el inicio de sesión del usuario real.

¿Pensamientos?

    
pregunta mtpettyp 13.03.2014 - 16:56
fuente

2 respuestas

2

Como usted dice, debe permitir que el usuario continúe iniciando sesión, de lo contrario se podría abusar. Si los bloqueó de manera efectiva, está creando una vulnerabilidad de denegación de servicio al permitir que un atacante niegue el servicio a un usuario legítimo.

No puedo ver lo que se logra al bloquear al usuario. Si está impidiendo que alguien que haya obtenido acceso a las credenciales de usuario continúe usando la cuenta, lo mejor sería lograrlo invalidando cualquier sesión de usuario (aparte de la sesión actual) después de restablecer con éxito la contraseña (una vez que se haya seguido el enlace y una nuevo conjunto de contraseñas).

    
respondido por el SilverlightFox 13.03.2014 - 17:09
fuente
3

Se les debe permitir iniciar sesión después de que se envíe el correo electrónico.

Después de todo, hacer clic en el enlace de restablecimiento en el correo electrónico es lo que activa el restablecimiento, no solicitar el correo electrónico. Como usted mismo se menciona, el bloqueo de la cuenta al solicitar un correo de restablecimiento podría dar lugar a abusos.

    
respondido por el user3244085 13.03.2014 - 17:08
fuente

Lea otras preguntas en las etiquetas

¿Existen límites (o, ¿cuáles son los límites) a nuestra comprensión de la resistencia de AES a los ataques de texto plano conocidos? ¿Alguien sabe acerca de los laboratorios en línea? [cerrado]