Restablecimiento de la contraseña cada vez que inicie sesión

Navega tus respuestas
1

Es una buena idea en términos de seguridad, restablecer su contraseña cada vez que inicie sesión y simplemente rellenarla con un montón de símbolos, letras y palabras al azar que no memorice.

Ya que las contraseñas con mayor entropía tienen una mejor seguridad, ¿por qué no completarlas con una larga secuencia aleatoria de símbolos, palabras, números y simplemente usar su correo electrónico para restablecerlo cada vez que intente iniciar sesión y luego eliminar el correo que le enviaron? recuperación. [O SMS al teléfono]

¿Cuál es la razón (principalmente de seguridad) por la cual esta idea nunca sugirió mucho? [Excluyendo el hecho de que es problemático para algunas personas]

    
pregunta WQYeo 23.01.2017 - 03:12
fuente

1 respuesta

2

Slack hace algo similar: en lugar de iniciar sesión con su contraseña, tiene la opción de recibir un correo electrónico a una cuenta registrada con un enlace de inicio de sesión único. Al hacer clic en el enlace, se inicia sesión. Así que esto se usa un poco :)

El problema principal con su esquema sugerido es, de hecho, el problema de conveniencia. En particular:

  • retraso de inicio de sesión. Dependiendo de la carga actual del servidor y de su proveedor de correo electrónico, puede tomar entre 5 segundos y 10 minutos recibir un correo electrónico con un enlace de restablecimiento. Si inicia sesión en algo como su cuenta bancaria, la cual inicia sesión al menos diariamente y siempre se desconecta, esto desperdicia bastante tiempo a menos que su flujo de trabajo esté bien planificado en torno a ella.
  • El procedimiento de restablecimiento de la contraseña podría romperse después de la actualización del sitio. Es probable que el inicio de sesión roto se detecte de inmediato, pero el restablecimiento de la contraseña se usa con menos frecuencia, y esto demoraría más tiempo en detectarse y repararse.
  • El procedimiento de restablecimiento de la contraseña puede ser inseguro. Algunos sitios incluso generarían y le enviarían una nueva contraseña temporal por correo electrónico (¡ughh!), Y algunas de esas contraseñas que he visto eran muy débiles.
  • El procedimiento de restablecimiento de la contraseña puede ser bastante complejo (pedir un nombre de usuario, preguntas de seguridad, otra información sobre usted, permitirle elegir una contraseña y luego iniciar sesión con esta contraseña). Esto haría que el inicio de sesión sea bastante engorroso.
  • En este esquema, su correo electrónico es esencialmente la clave de todo, y si se le piratea, bloquea o elimina (como cuando Lavabit cerró su servidor de correo electrónico, ¿imagina que tenía ese correo electrónico registrado?), ahora está en un problema realmente grande, ya que no conoce ninguna de sus contraseñas y no tiene medios para restablecerla fácilmente.
  • Finalmente, después de muchos reinicios, es posible que su cuenta se bloquee en el servidor: es un comportamiento inusual que los usuarios restablezcan la contraseña a diario, por lo que depende de cuán celosos sean sus departamentos de fraude. En este caso, es probable que el servicio de atención al cliente no pueda hacer nada por usted, además de desbloquear su cuenta una vez, y decirle que podría volver a bloquearse mañana si restablece su contraseña nuevamente.
respondido por el George Y. 23.01.2017 - 04:45
fuente

Lea otras preguntas en las etiquetas

¿Por qué IPSec ESP no protege el encabezado de IP? ¿Cuáles son las técnicas de mitigación contra los ataques de sincronización de caché en AES?