Al enviar a los usuarios de la aplicación web un correo electrónico de recordatorio, ¿es razonablemente seguro incluir un enlace en el correo electrónico para llevarlos a la aplicación web? ¿El enlace tiene su nombre de usuario como parámetro? Esto es para evitar que el usuario tenga que ingresar su nombre de usuario Y su contraseña.
El pensamiento actual de nuestro equipo es que esto debería estar bien siempre que la contraseña utilizada sea lo suficientemente larga y compleja.
No puedo ver ningún problema con la inclusión del nombre de usuario en el correo electrónico.
Sin embargo, generalmente se considera una mala práctica incluir un enlace a un formulario de inicio de sesión en un correo electrónico, ya que capacita a los usuarios para que hagan clic en los enlaces que aparecen en un correo electrónico que pueden ser ataques de phishing. En segundo lugar, puede hacer que su correo electrónico (real y legítimo) se vea como phishing / spam para algunos filtros y / o usuarios escépticos como en este artículo de Sophos.
La mejor práctica es decirle al usuario que escriba su dirección en la barra de URL; Esto garantiza que el usuario realmente vaya a su sitio web y a ningún otro.
Creo que es tan seguro porque la única forma de que alguien pueda acceder a la dirección de correo electrónico en el enlace es interceptando el correo electrónico. Si han podido interceptar el correo electrónico y leerlo, de todos modos pueden obtener la identificación del correo electrónico (campo Para). No veo mucha relación entre esto y la complejidad o longitud de la contraseña.
Los nombres de usuario generalmente no se consideran información confidencial, ya que usualmente hay muchas maneras para que un atacante los aprenda. Como tal, incluir un nombre de usuario en un enlace con el fin de completar previamente un formulario no es un riesgo de seguridad.
Lea otras preguntas en las etiquetas user-names