Notificación por correo electrónico sobre el bloqueo de cuentas

Navega tus respuestas
0

Estoy debatiendo los méritos de una función que se solicita para nuestra aplicación web.

La solicitud solicita que se envíe un correo electrónico a un usuario cuando una cuenta está bloqueada. Las cuentas son bloqueado después de 5 intentos fallidos. Por cada intento fallido, al usuario simplemente se le informa de un nombre de usuario / contraseña no válido y no indicamos que la cuenta esté bloqueada en la parte delantera para mitigar la enumeración del nombre de usuario.

Mis puntos en contra de esta solicitud son

  1. Estoy sugiriendo que la función podría abrir el sistema de correo electrónico para atacar bloqueando todas las cuentas de los usuarios y emitiendo correos electrónicos en masa suponiendo que alguien conozca todos los nombres de usuario.

    2. La característica

  2. no agrega valor al usuario, ya que nuestro producto proporciona una buena contraseña olvidada.

Cualquier pensamiento, recomendaciones o estándar de la industria. Por lo que sé, siempre será suficiente una función segura que permita al usuario iniciar una contraseña olvidada.

    
pregunta Darragh 22.11.2016 - 11:37
fuente

1 respuesta

1

La adición de la característica solicitada por el usuario no parece agregar ninguna vulnerabilidad de seguridad al flujo actual de cosas.

  

Estoy sugiriendo que la función podría abrir el sistema de correo electrónico para   ataque bloqueando todas las cuentas de los usuarios y emitiendo correos electrónicos en masa   asumiendo que alguien conoce todos los nombres de usuario.

¿La función "Olvidé mi nombre de usuario / contraseña" envía un correo electrónico al usuario con un enlace para restablecer la contraseña? Si es así, entonces un atacante que conozca el nombre de usuario todavía podría forzar a la víctima a recibir una categoría diferente de correos electrónicos, iniciando correos electrónicos de restablecimiento de contraseñas varias veces

  

La función no agrega valor al usuario, ya que nuestro producto proporciona una buena   capacidad de contraseña olvidada.

En línea con el comentario de Matthew, es muy probable que el usuario promedio no sepa por qué no puede iniciar sesión correctamente. A menos que sepan explícitamente que esto se debe a un bloqueo, probablemente culparán a la aplicación.

Además, nunca es malo tener una medida en su lugar que no salpique a los usuarios con correos electrónicos "bloqueados" repetidos. Un correo electrónico con la información necesaria sobre la cuenta que se está bloqueando debería ser suficiente. El usuario que no actúa en el correo electrónico es su propio mal. Más allá de eso, como usted dice, siempre podrían acceder a la función de contraseña olvidada.

    
respondido por el katrix 22.11.2016 - 18:12
fuente

Lea otras preguntas en las etiquetas

¿Qué amenazas de seguridad enfrentan los comerciantes en su uso de TI? ¿Puede alguien omitir preg_replace para SQLi en mi aplicación?