¿Los tokens seguros que se envían por correo electrónico son seguros? [duplicar]

0

Estoy luchando con la función de restablecimiento de la contraseña de una aplicación web, la forma en que me inclino a hacerlo es mediante el envío de una URL basada en token al correo electrónico del usuario y que el usuario puede acceder y restablecer su contraseña. ¿Pero es el correo electrónico una forma confiable de llevar datos tan sensibles?

    
pregunta danillosl 11.05.2015 - 20:35
fuente

1 respuesta

1

"el correo electrónico es una forma confiable de llevar datos tan sensibles" No.

¿Muchos sitios web lo hacen? Sí.

Una salvación es hacer que el enlace sea de un solo uso y requiera que el usuario elija una nueva contraseña inmediatamente. De esa manera, si un atacante intercepta el correo electrónico y lo usa para secuestrar la cuenta, cuando el usuario legítimo haga clic en el enlace más tarde, recibirá un mensaje de error y sabrá que algo está mal. Como lo menciona @Xander, esto dista mucho de ser ideal, pero al menos es algo.

Si desea mayor seguridad, piense en agregar un segundo factor a la herramienta de restablecimiento de contraseña, como enviar un código a los SMS del usuario o "¿dónde nació su madre?" escriba preguntas de seguridad, o cualquiera de los otros métodos estándar de segundo factor (debería poder obtener una buena lista de Google).

    
respondido por el Mike Ounsworth 11.05.2015 - 20:47
fuente

Lea otras preguntas en las etiquetas