¿Es seguro para un usuario restablecer manualmente su contraseña cada inicio de sesión (por correo electrónico o autenticación de 2 factores) a un token aleatorio por correo electrónico o autenticación de 2 factores, cuando no se obliga a OTP?
Me refiero a que un atacante tendría que obtener acceso al correo electrónico para iniciar sesión, pero si él es capaz de acceder al correo electrónico, luego podría burlar la contraseña restableciéndola de todas formas.
No puedo ver ningún problema directo de seguridad, pero puede haber efectos secundarios.
En algunos sistemas, se advierte al usuario y / o a los administradores que se cambió una contraseña. Cambiar una contraseña todos los días podría agregar ruido allí. Otra posible prueba es que el cambio muy a menudo de una contraseña podría ser un indicador de que algo extraño sucede con esa cuenta y aquí nuevamente se le puede advertir al usuario y a los administradores.
Algunos sistemas pueden usar la sincronización de contraseña. Ok, SSO es mejor, pero no todos los sistemas lo admiten, esa es la razón por la cual se puede usar la sincronización de contraseña. Cuando una contraseña se cambia con éxito en un sistema, se envía una solicitud para establecer la nueva contraseña a otro sistema. En condiciones anormales (problemas de red), la solicitud puede ponerse en cola o perderse. En el primer caso, las contraseñas se vuelven diferentes durante un período variable pero corto; en el segundo, las contraseñas se desincronizan hasta el próximo restablecimiento. Esto rara vez se observa en condiciones normales porque necesita la aparición simultánea de 2 eventos: un cambio de contraseña y un problema de red. Pero si una contraseña se cambia todos los días en ese sistema, puede esperar caer en esa trampa.
Lea otras preguntas en las etiquetas password-management user-education password-reset