Estamos usando un CMS que tiene una función de restablecimiento de contraseña que funciona de acuerdo con las mejores prácticas listas para usar.
- Las contraseñas se almacenan como hashes con sal
- La contraseña olvidada funciona así:
- El usuario ingresa el nombre de usuario o la dirección de correo electrónico en el cuadro de texto
- El sistema genera un correo electrónico con un enlace "restablecer contraseña"
- El usuario tiene x minutos para seguir el enlace y restablecer la contraseña, o está deshabilitado.
(Nota al margen, nos gustaría agregar autenticación de dos factores, y la compañía que desarrolla este CMS está trabajando para proporcionar eso, pero aún no está disponible).
Opcionalmente, podemos incluir el nombre de usuario en el correo electrónico en caso de que el usuario haya olvidado su nombre de usuario.
¿Incluir el nombre de usuario en el correo electrónico de restablecimiento de contraseña supone un riesgo de seguridad adicional?
Claramente, es un dato más que un atacante tiene en sus manos, pero la verdad es que si un atacante logra interceptar este correo electrónico, ya puede hacer clic en el primer enlace para iniciar sesión como usuario, así que no lo hago. Ver realmente un riesgo añadido. ¿Me estoy perdiendo algo?