¿Por qué pedir un nombre de usuario / contraseña después de un restablecimiento exitoso de la contraseña? [duplicar]

Navega tus respuestas
1

Muy rara vez he ido a un sitio únicamente para restablecer mi contraseña. ¿Por qué entonces, después de pasar por un proceso de restablecimiento de contraseña, la conclusión del proceso me pide que inicie sesión nuevamente con la nueva contraseña?

¿Qué se gana con esto, en lugar de simplemente pasarme a la parte "del sitio que has iniciado sesión correctamente" una vez que haya cambiado la contraseña correctamente?

He visto este patrón en varios sitios bien conocidos, así que supongo que debe haber alguna buena razón para ello.

    
pregunta J Kimball 05.05.2017 - 17:30
fuente

2 respuestas

2

Es más seguro evitar entregar un token de sesión en un reinicio exitoso. También ayuda a reforzar la nueva contraseña para el usuario o hace que sea más probable que el administrador de la contraseña del usuario detecte la actualización. La parte del código que maneja a los usuarios bloqueados debe ser totalmente independiente de la parte que los autentica.

    
respondido por el PrincessOvIce 05.05.2017 - 17:44
fuente
2

Puedo ver 3 razones para este proceso:

  • Es fácil de implementar. La aplicación cambia la contraseña del usuario y luego cierra la sesión correctamente, borrando el token de autenticación en la base de datos. Cuando el usuario vuelve a iniciar sesión, se emite un nuevo token de autenticación. Esto evita cualquier comportamiento incoherente imprevisto de la aplicación.
  • Esto permite que el navegador note el cambio de contraseña. Al iniciar sesión, el administrador de contraseñas del navegador puede solicitar la actualización de la contraseña con la nueva.
  • Este proceso garantiza que el usuario pueda iniciar sesión con la nueva contraseña. El usuario notará inmediatamente si comete un error.

Básicamente, esta es más una decisión basada en el diseño de la aplicación o las preocupaciones de UX que en los requisitos de seguridad.

    
respondido por el A. Hersean 05.05.2017 - 17:45
fuente

Lea otras preguntas en las etiquetas

Recibiendo correos de validación con una dirección incorrecta ¿Cómo estar seguro de que un programa se desinstaló correctamente en Windows?