Diga que tengo un sitio web que permite a un usuario restablecer su contraseña por correo electrónico o por mensaje de texto. El usuario debe poder elegir uno u otro.
Sin revelar demasiada información, ¿cuál sería la cantidad óptima de caracteres para mostrar un número de teléfono y una dirección de correo electrónico que permita al usuario restablecer su contraseña?
La mayoría de los sitios con los que me he topado no muestran ningún correo electrónico (sabiendo que solo unos pocos caracteres podrían ayudar a un atacante a vincular un correo electrónico a una cuenta), y simplemente enviar un correo electrónico de reinicio en silencio. Pero los números de teléfono parecen ser tratados de manera diferente, ya que los sitios tienden a mostrar al menos parte de los números de teléfono, a menudo usando los últimos dos caracteres del número, como sigue:
(***)-***-**55
¿Es esta la mejor convención a seguir en términos de equilibrio entre usabilidad y seguridad? ¿Por qué los sitios web muestran una parte de un número de teléfono cuando no muestran correos electrónicos, y existe algún riesgo asociado con mostrar que el usuario tiene un teléfono y / o correo electrónico conectado a su cuenta en primer lugar?