Identidad ofuscada para la información de restablecimiento de contraseña

Creo que hacen esto para evitar que los spammers ingresen nombres de usuario aleatorios y obtengan una lista de direcciones de correo electrónico, mientras que siguen recordando la dirección establecida al usuario legítimo (que podría tener más de una cuenta).

Yo personalmente no veo ningún problema importante con eso. Por supuesto, alguien podría configurar una cuenta con una dirección de correo electrónico antigua, olvidarse de ella y olvidar la contraseña, sin posibilidad de restablecerla, pero eso no es un defecto de este mecanismo.

Una falla de este sistema es que las direcciones de correo electrónico a menudo son bastante predecibles, y muchas personas tienen direcciones de correo electrónico de un número relativamente pequeño de proveedores. Esto puede significar que un ataque dirigido (spear phishing, por ejemplo) puede usar este tipo de formularios como una forma de confirmar las conjeturas en las direcciones de correo electrónico.

Por ejemplo, un usuario llamado John Smith podría tener la dirección de correo electrónico [email protected] (de trabajar en Ejemplo) y una dirección personal, que no se conoce directamente. Su cuenta de Facebook podría permitir que la contraseña de reinicio se envíe a "js****@g****.com"; es bastante bueno suponer que será [email protected]. Si ofreció "j********@h******.com", puede hacer una buena suposición en [email protected]. Es mucho menos probable que tenga "[email protected]", a menos que se sepa que trabaja para el propietario del dominio.

Puede mejorar ligeramente la seguridad de este tipo de ataque al desacoplar la longitud de la dirección original de la longitud provista en la versión ofuscada: "j*@g*.com" y "j*@h*.com" don No ofrezca tanta información, pero probablemente sean suficientes para sugerir al usuario legítimo dónde deben buscar.