Identidad ofuscada para la información de restablecimiento de contraseña

0

Me pregunto qué opinas sobre por qué sería / no sería una buena idea enmascarar u ofuscar los datos de la dirección de correo electrónico en un envío web de restablecimiento de contraseña una vez que el usuario haya ingresado su nombre de usuario para informarles a dónde se envió el enlace de restablecimiento de contraseña. a.

Ejemplo:

"Su enlace de restablecimiento de contraseña ha sido enviado a Mar************lky@h******.com Si esta no es su dirección, contáctenos al 1-800-555-5555. "

Los grandes proveedores, como Apple y Google, hacen esto hasta cierto punto, y creo que ayuda a los usuarios a recordar qué dirección configuraron, si rara vez usan el servicio y les brinda la oportunidad de darse cuenta de que "oh cr @ p, yo tener esa vieja dirección todavía! ".

¡Los pensamientos para pro y contra serían bienvenidos!

    
pregunta AgentDiNozzo 05.05.2016 - 16:57
fuente

2 respuestas

3

Creo que hacen esto para evitar que los spammers ingresen nombres de usuario aleatorios y obtengan una lista de direcciones de correo electrónico, mientras que siguen recordando la dirección establecida al usuario legítimo (que podría tener más de una cuenta).

Yo personalmente no veo ningún problema importante con eso. Por supuesto, alguien podría configurar una cuenta con una dirección de correo electrónico antigua, olvidarse de ella y olvidar la contraseña, sin posibilidad de restablecerla, pero eso no es un defecto de este mecanismo.

    
respondido por el A. Darwin 05.05.2016 - 17:08
fuente
2

Una falla de este sistema es que las direcciones de correo electrónico a menudo son bastante predecibles, y muchas personas tienen direcciones de correo electrónico de un número relativamente pequeño de proveedores. Esto puede significar que un ataque dirigido (spear phishing, por ejemplo) puede usar este tipo de formularios como una forma de confirmar las conjeturas en las direcciones de correo electrónico.

Por ejemplo, un usuario llamado John Smith podría tener la dirección de correo electrónico [email protected] (de trabajar en Ejemplo) y una dirección personal, que no se conoce directamente. Su cuenta de Facebook podría permitir que la contraseña de reinicio se envíe a "js****@g****.com"; es bastante bueno suponer que será [email protected]. Si ofreció "j********@h******.com", puede hacer una buena suposición en [email protected]. Es mucho menos probable que tenga "[email protected]", a menos que se sepa que trabaja para el propietario del dominio.

Puede mejorar ligeramente la seguridad de este tipo de ataque al desacoplar la longitud de la dirección original de la longitud provista en la versión ofuscada: "j*@g*.com" y "j*@h*.com" don No ofrezca tanta información, pero probablemente sean suficientes para sugerir al usuario legítimo dónde deben buscar.

    
respondido por el Matthew 05.05.2016 - 17:27
fuente

Lea otras preguntas en las etiquetas