Restablecer contraseña con el cliente de correo electrónico que comprueba el enlace

Navega tus respuestas
1

Me he dado cuenta de la situación en la que el cliente de correo electrónico comprueba todos los enlaces en los correos electrónicos, de modo que cuando envío un correo electrónico con un enlace para restablecer la contraseña, el usuario obtiene la nueva contraseña temporal en el siguiente correo electrónico a la vez. Pero solo se debe enviar si el usuario hace clic en el enlace.

Restablecer escenario:

  1. El usuario ingresa el inicio de sesión y la dirección de correo electrónico y presiona el botón de reinicio
  2. El usuario recibe un correo electrónico con el enlace de restablecimiento
  3. El usuario hace clic en el enlace
  4. El usuario recibe un correo electrónico con contraseña temporal
  5. El usuario inicia sesión con una contraseña temporal

¿Podrías recomendar una solución a este problema?

    
pregunta Dmitry 25.10.2016 - 12:43
fuente

1 respuesta

2

Podrías insertar captcha en la página temporal. Excluirá a cualquier cliente automático.

Además, para ahorrar tiempo a los usuarios, puede crear una lista blanca de usuarios-agentes populares donde no se necesitará captcha. De esta manera, la mayoría de los usuarios no verán un paso adicional y estará protegido contra clientes automáticos.

NOTA: Esto NO es protección en términos de seguridad. Recuerde que cualquier usuario puede falsificar fácilmente el agente de usuario.

    
respondido por el Szymon Drosdzol 25.10.2016 - 13:43
fuente

Lea otras preguntas en las etiquetas

Generación de contraseña del enrutador: ¿por qué los proveedores utilizan SSID / ID de enrutador? OpenSSL vulnerabilidad de relleno oracle (CVE-2016-2107)