He implementado una función de restablecimiento de contraseña para un sitio web en el que estoy trabajando. Por defecto, la función es muy rápida, y me pregunto si sería útil, desde un punto de vista de seguridad, reducirla un poco intencionalmente.
Estoy pensando en simplemente agregar una llamada inactiva al inicio de la acción del controlador.
Mi razonamiento es que un usuario que realmente está intentando restablecer su contraseña, probablemente no se molestará en esperar unos 5 segundos más, para recibir la confirmación de que se ha enviado el correo electrónico de restablecimiento de contraseña. Sin embargo, con estos 5 segundos adicionales, espero que pueda ayudar a ralentizar un bot.
Una de mis razones principales para querer hacer esto, es porque anteriormente, la función de reinicio no daba ninguna indicación de si se había ingresado un nombre de usuario no válido. Esto fue para evitar que los usuarios malintencionados intenten encontrar nombres de usuario válidos. Sin embargo, me pidieron que cambiara esto porque los usuarios lo encontraban confuso.
Como la función de restablecimiento ahora se puede usar para determinar si un nombre de usuario es válido, quería un nivel adicional de seguridad para evitar el uso malicioso.