Hacer cumplir el cambio de contraseña

Navega tus respuestas
0

Cuando un sitio es hackeado, o de lo contrario, el sitio web le obliga a cambiar su contraseña. Esto se hace simplemente diciéndole que cambie su contraseña, no la haga cumplir.

¿Por qué hacen eso? Por ejemplo, podrían:

  1. Deshabilite sus credenciales y envíe un correo electrónico para restablecer la contraseña.
  2. En caso de que haya perdido el correo electrónico, o si no está utilizando el servicio muy a menudo y optó por ignorar el correo electrónico de restablecimiento de contraseña, simplemente mantenga la cuenta desactivada hasta que se intente iniciar sesión, luego envíe el correo electrónico de restablecimiento de contraseña, con hipervínculos a informar posibles intentos de inicio de sesión no autorizados.
pregunta blended 21.05.2014 - 17:13
fuente

2 respuestas

1

He implementado la funcionalidad que describe en el pasado de la siguiente manera: junto con cada cuenta en la base de datos, se almacena un valor booleano. Esta propiedad podría, por ejemplo, llamarse IsPasswordChangeRequired .

Cuando se envía el formulario de inicio de sesión, el servidor web primero verifica si las credenciales del usuario son válidas. Si este es el caso, verifica el valor de la propiedad IsPasswordChangeRequired . Cuando eso es true , se sirve una versión alternativa del formulario de inicio de sesión, es decir, una que contiene campos para ingresar una nueva contraseña.

El servidor también podría responder redirigiendo a una página de cambio de contraseña .

    
respondido por el Steven Volckaert 21.05.2014 - 17:42
fuente
1

No siempre es la mejor idea enviar un correo electrónico a un usuario para informarle sobre problemas de seguridad.

  • La cuenta de correo electrónico del usuario podría verse comprometida, por ejemplo, si se utilizan los mismos detalles (lo que muchos hacen);
  • Es posible que la cuenta de correo electrónico del usuario se haya visto comprometida y haya cambiado la dirección de correo electrónico en respuesta;
  • El usuario puede descartar el correo electrónico como spam o un intento de phishing.

En cuanto a por qué algunos servicios no obligan a cambiar la contraseña. Esto inevitablemente se reduce, no compromete la facilidad de uso: si un cliente siente que el trabajo necesario es más complicado de lo que vale, ha perdido un cliente. Si le da a los clientes la opción, si por alguna razón sus datos se usan maliciosamente, al menos el cliente tuvo la opción de cambiarlos, pero no lo hizo.

    
respondido por el Peter 21.05.2014 - 17:48
fuente

Lea otras preguntas en las etiquetas

Posibilidad de correlacionar ciertos grupos de usuarios en redes de baja latencia bibliotecas alternativas a gcc stack-protector / fortity source feature en linux