El correo electrónico se utiliza para iniciar sesión pero no tiene que ser único. ¿Cuestiones?

Navega tus respuestas
1

Me mudé a un proyecto en el que están implementando un sistema en el que diferentes personas pueden usar la dirección de correo electrónico de un usuario, es decir, los usuarios pueden registrarse tantas veces como lo deseen con una dirección de correo electrónico, ya que no existe una restricción única. . La teoría es que no tendrán acceso real a la cuenta de correo electrónico, por lo que no es un problema.

No puedo pensar en ningún problema con esto, pero algo sobre este enfoque no me parece correcto. La dirección de correo electrónico no se usa como un identificador único, aunque las personas inician sesión con ella, pero ¿qué problemas potenciales, si los hubiera, podrían surgir con este enfoque?

Editar: restablecer una contraseña no envía un correo electrónico, su teoría es que si el usuario ha robado el teléfono, es probable que tenga acceso a la dirección de correo electrónico en el teléfono. En su lugar, deben ingresar preguntas de seguridad o responder, de lo contrario, deben crear una nueva cuenta (por eso quieren permitir direcciones de correo electrónico duplicadas). Mi preocupación es que esto, de alguna manera, crea un nuevo vector de ataque para los piratas informáticos, pero no puedo descubrir cómo y puedo estar equivocado.

Gracias

    
pregunta Secoority 24.09.2015 - 12:01
fuente

2 respuestas

4

Supongo que en el caso de cuentas duplicadas, ¿se utilizan diferentes contraseñas como medio para distinguir entre estas cuentas?

es decir, Si hay dos [email protected] s, uno con la contraseña foo y otro con bar , se comprobará la contraseña para averiguar en qué cuenta iniciar sesión el usuario.

Los problemas con este enfoque serían:

  • Si un usuario con una dirección de correo electrónico configura su contraseña igual que otra cuenta con esa dirección de correo electrónico, entonces no hay forma de advertir al usuario sin revelar que la contraseña coincide con otra cuenta.
  • Las políticas de bloqueo de la cuenta no pueden identificar la cuenta para el bloqueo porque la contraseña no se ha ingresado incorrectamente.
  • Usar un algoritmo de almacenamiento seguro de contraseñas como bcrypt se vuelve imposible porque no hay un índice único en el que encontrar el salt para determinar si tiene una coincidencia de contraseña. Cada cuenta coincidente tendría que probarse, lo que provocaría largos retrasos en el inicio de sesión a medida que se intentara cada hash de contraseña.
  • Cualquier ataque de adivinación de contraseñas contra una cuenta de usuario tiene múltiples intentos de éxito en cada solicitud, ayudando a un atacante.
respondido por el SilverlightFox 24.09.2015 - 13:35
fuente
-1

Si el usuario utiliza una contraseña olvidada, la nueva contraseña se enviará a la dirección de correo electrónico con la que ha iniciado sesión.

Esto hace que el usuario cuya dirección de correo electrónico se utiliza acceda a la contraseña y pueda usarla para iniciar sesión y realizar acciones.

    
respondido por el Irfan 24.09.2015 - 12:13
fuente

Lea otras preguntas en las etiquetas

Demostrando el riesgo de conducir por descargas a los no informados Usando un conjunto mínimo de autorizaciones de certificados