Correo de restablecimiento de contraseña - restablecer contraseña de nuevo [duplicar]

0

Supongamos esta situación: soy usuario de una tienda en línea, olvidé mi contraseña. Así que uso la funcionalidad de esta tienda en línea para restablecer mi contraseña. La tienda en línea me envía un correo electrónico con un enlace que debo visitar para cambiar mi contraseña. Cambié mi contraseña, pero no eliminé este correo electrónico.

Ahora, un día después (después de este reinicio de contraseña), volví a ver este correo electrónico, lo volví a hacer clic y puedo cambiar mi contraseña nuevamente. Desde una perspectiva de seguridad: ¿Cómo valoraría esta situación?

    
pregunta kristian 24.05.2017 - 11:01
fuente

3 respuestas

3

Si puedes hacer eso, significa que los desarrolladores no usaron un token para validar ese enlace solo por un tiempo determinado.

La solución correcta es usar tokens que caducarán una vez que se haya restablecido la contraseña o después de 10-15 minutos.

    
respondido por el yzT 24.05.2017 - 11:15
fuente
2

Esta situación conlleva un riesgo de seguridad, ya que si otra persona puede obtener este enlace, puede cambiar su contraseña y utilizar su cuenta de forma no deseable.

Pero en general, estos enlaces de restablecimiento de contraseña vienen con un token adjunto que tiene una caducidad. Usando este mecanismo, el enlace se vuelve inutilizable después de un cierto período de tiempo. En general, el límite de tiempo para que caduque el token varía de minutos a días, lo que queda a criterio exclusivo de los propietarios del sitio web / portal.

El correo de restablecimiento que has recibido puede haber especificado la hora en que el enlace estará activo.

Espero que esto aclare.

    
respondido por el Sushant Dusad 24.05.2017 - 11:14
fuente
1

Eso no es bueno porque cualquiera que tenga ese enlace (nota: el token es lo más importante) puede hacer cambios en su contraseña por un tiempo ilimitado.

Solución 1: invalide el token una vez que la contraseña se haya restablecido correctamente.

Solución 2: hacer que el token caduque después de algún tiempo. Los ejemplos del mundo real a menudo varían de 10 minutos a 3 horas.

Recomendaría implementar los dos anteriores.

    
respondido por el Christopher Smith 24.05.2017 - 11:38
fuente

Lea otras preguntas en las etiquetas