¿Se puede usar el recibo de lectura y los correos electrónicos de restablecimiento de contraseña para mejorar la seguridad?

0

Recientemente me inscribí en una página web. Cuando abrí el habitual "haga clic en este enlace para validar su correo electrónico y seleccione una contraseña", mi cliente me notificó que el remitente había solicitado una confirmación de lectura. Opté por no enviar una, y podría completar el registro de todos modos.

Me sorprendió un poco, ya que esto nunca me había sucedido en un correo electrónico similar. Siendo del tipo curioso, comencé a especular por qué solicitan recibos y cómo podrían usarse para mejorar la seguridad. Tal vez esté relacionado con la invalidación del token, pero ¿cómo?

No entiendo cómo podrían usarse. ¿Quizás tienes alguna idea?

    
pregunta Anders 07.10.2016 - 13:55
fuente

1 respuesta

1

La única forma en que puedo pensar en esta mejora de la seguridad es que cualquier enlace / token se revoque antes.

Ejemplo: con un correo electrónico de restablecimiento de contraseña, el token puede tener una validez de 1 hora, si se recibe una confirmación de lectura después de 6 minutos, sería razonable que ese token solo sea válido por otros 5 minutos. Esto reduce la ventana de ataque de 1 hora a 11 minutos.

    
respondido por el Topher Brink 07.10.2016 - 14:24
fuente

Lea otras preguntas en las etiquetas