¿Problemas al reiniciar el recuento de conjeturas de contraseñas?

1

Prólogo. Imagina un sitio web con un login. Usted tiene una cuenta, ingrese su dirección de correo electrónico y una contraseña. Error. Contraseña incorrecta. Intenta otras dos contraseñas. Ambos son incorrectos y ahora tu cuenta está bloqueada. Afortunadamente, no es un bloqueo temporizado, pero sí tiene que cambiar su contraseña. Hago clic en el enlace en el correo electrónico "olvidó su contraseña" e ingrese una nueva contraseña. El sitio web responde con: "elija una contraseña que no sea su contraseña actual".

Bien, he aquí mi pregunta: ¿habría otros riesgos de seguridad si, en lugar de obligarme a cambiar mi contraseña, el correo electrónico que me envían después de n contraseñas no válidas contendría un enlace que me envía de vuelta? a la página de inicio de sesión, pero con n nuevos intentos de inicio de sesión?

    
pregunta Protector one 15.03.2017 - 17:21
fuente

2 respuestas

1

Su interfaz de usuario no debe dar ninguna indicación de que el usuario esté bloqueado. Consulte la orientación de OWASP sobre este asunto .

Cuando consideras este pequeño detalle, la idea de proporcionar un enlace para "tres intentos más" no tiene ningún sentido.

Además, no veo ningún daño en permitir que el usuario restablezca su contraseña a su contraseña existente, si por alguna extraña peculiaridad la recuerda cuando la reinicia. Sin embargo, si decide conservarlo, debe conservar el antiguo valor de "fecha de creación de la contraseña" (si está aplicando la caducidad de la contraseña).

    
respondido por el John Wu 15.03.2017 - 18:26
fuente
1

Muchos sitios web usan reCaptcha cuando alguien comienza a tener intentos fallidos de inicio de sesión. La razón por la que esto es bueno es porque 1) es anti-bot porque los bots tienen dificultades para leer las imágenes y 2) Mantiene a su usuario en la página sin tener que abandonar o causar cualquier molestia adicional, como tener que iniciar sesión en su correo electrónico para una nuevo enlace.

No habría mucho riesgo de seguridad, pero en el peor de los casos, si un atacante también tuviera acceso a su cuenta de correo electrónico, puede escribir un bot para iniciar sesión en su correo electrónico, obtener el enlace, navegar hasta el enlace y vuelve a intentarlo y repite el proceso. Creo que la mejor solución es implementar reCaptcha después de que un usuario obtenga demasiadas contraseñas incorrectas.

    
respondido por el nd510 15.03.2017 - 17:38
fuente

Lea otras preguntas en las etiquetas