¿Se debe permitir a los usuarios iniciar sesión con la misma contraseña cuando se solicita un cambio de contraseña pero no se cambia?

Question

¿Se debe permitir a los usuarios iniciar sesión con la misma contraseña cuando se solicita un cambio de contraseña pero no se cambia?

#1 de Sjoerd (3 votos)
#2 de Tensibai (1 votos)
#3 de doriclazar (0 votos)
#4 de Saif (-1 votos)

1

Me he dado cuenta de que algunos sitios no le permiten iniciar sesión con la contraseña anterior si se solicita una nueva, pero no se modificó.

Ejemplo: Olvidé mi contraseña y solicité una nueva en el correo electrónico. Recibí el correo electrónico para restablecerlo, hice clic en él y luego, mientras escribía, recordé la contraseña anterior. Así que cancelo la página y vuelvo a la página de inicio de sesión. Sin embargo, no me permite iniciar sesión con la contraseña anterior, ya que he solicitado un cambio de contraseña.

¿Qué compromisos se hacen posibles si permitimos que los usuarios inicien sesión con la contraseña anterior, en lugar de hacer que cambien la contraseña?

web-application password-management authentication password-policy password-reset

pregunta Sambhav Bellani 09.02.2017 - 10:53

fuente

4 respuestas

Lea otras preguntas en las etiquetas web-application password-management authentication password-policy password-reset

¿Ocultar RAT en un enlace de imagen en un documento? Cómo el firewall de estado a nivel de aplicación afecta el rendimiento de la red

score 3 · Answer 1

3

Sí, debe permitir que los usuarios inicien sesión con la contraseña anterior hasta que hayan cambiado la contraseña. De lo contrario, sería posible bloquear a los usuarios de su cuenta solicitando un restablecimiento de contraseña para ellos.

respondido por el Sjoerd 09.02.2017 - 11:07

fuente

score 1 · Answer 2

El comportamiento que está describiendo tiene sentido de alguna manera, su contraseña probablemente fue eliminada cuando abrió la página de la nueva contraseña ya que demostró que era el autor del cambio o que realmente deseaba obtener una nueva contraseña.

En mi opinión, no agrega ni elimina la seguridad, es más un detalle de implementación impulsado por:

la forma en que funciona el marco (limpiando la entrada de la base de datos antes de guardar la nueva).
el equipo de desarrollo no pensó que alguien cancelaría la nueva contraseña y, aunque era mejor limpiarla en la carga de la página.

Estoy a favor de manejar el caso de "cancelación", la contraseña solo debe borrarse / sobrescribirse cuando el usuario haya validado el formulario, por las mismas razones que dio @Sjoerd: para evitar el bloqueo de usuarios.

score 0 · Answer 3

El cliente puede restablecer su contraseña porque puede sospechar que un atacante potencial la tiene. Sería una terrible idea enviarle un correo electrónico que indique que su contraseña se limpiará (o se moverá al campo "old_password_hash") incluso si el atacante aún puede usarla después de que el cliente haya hecho clic en el enlace.

score -1 · Answer 4

-1

Puedes establecer diferentes políticas para diferentes usuarios: El usuario normal todavía puede iniciar sesión con la misma contraseña hasta que cambien su contraseña usuario alto con privilegios blancos, debe aplicar el cambio de contraseña de acuerdo con la política de su organización

respondido por el Saif 10.02.2017 - 08:59

fuente