Olvidó la contraseña y reveló si la cuenta existe [duplicado]

Navega tus respuestas
7

Entonces, cuando llegas al enlace de contraseña olvidada e ingresas tu dirección de correo electrónico, parece que los sitios (y otros programadores con los que he hablado) son uno de los dos modos de pensar;

  • Notifique al usuario si la dirección de correo electrónico coincidió con una de la base de datos y, de acuerdo con este aviso, si se configuró un correo electrónico para restablecer la contraseña o:
  • Responda de inmediato con un "Correo electrónico enviado" o "Si este usuario existe, le hemos enviado un correo electrónico de restablecimiento de contraseña" independientemente de si se produjo una coincidencia que resultó en un correo electrónico enviado. Esto se hace (aparentemente) por razones de seguridad.

He implementado este último yo mismo y, en general, descubrí que generaba molestias con los usuarios debido a;

  1. Si un usuario escribe incorrectamente su dirección de correo electrónico, se le informa que se envía un correo electrónico, pero nunca recibirá una.
  2. Si han escrito una dirección de correo electrónico diferente a la que se registraron, tampoco recibirán un correo electrónico.
  3. Una combinación de lo anterior puede resultar en múltiples intentos, pero no se recibe un correo electrónico para restablecer la contraseña, lo que da como resultado la renuncia.

Finalmente, tras la investigación de sitios web populares que utilizan el segundo escenario, descubrí que al intentar registrar una cuenta en estos sitios donde la dirección de correo electrónico ingresada coincide con una cuenta existente, "esta dirección de correo electrónico ya está en uso o el mensaje de tipo "no disponible" se muestra de todos modos.

Como tales, ¿cuáles son los beneficios que no revelan si un correo electrónico de restablecimiento de contraseña ha coincidido con una cuenta?

    
pregunta Stafford Williams 29.08.2015 - 03:25
fuente

6 respuestas

2

En general, creo que esto no es útil para los usuarios legítimos de sitios legítimos, pero si su sitio promocionaba el anonimato, decirle a un usuario web aleatorio si una dirección de correo electrónico en particular era válida sería una fuga.

    
respondido por el ddyer 29.08.2015 - 03:56
fuente
1

Dependiendo de lo fácil que sea registrarse en su sitio, es posible que no esté filtrando información al decir si el correo electrónico fue enviado o no.

Si alguien puede crear una cuenta, probablemente dirá si el correo electrónico está en uso o no. Así que al final del día, la molestia adicional no es comprarte ninguna seguridad adicional.

Lo que no debe filtrar son los correos electrónicos si los usuarios pueden proporcionar un nombre de usuario o un correo electrónico. Disminuiría la seguridad si le dijera al usuario a qué correo electrónico se envió el token, ya que podría usarse para recibir el correo electrónico de los usuarios si no son públicos.

    
respondido por el Esben Skov Pedersen 29.08.2015 - 09:36
fuente
1

Vale la pena considerar que revelar la información de si el titular de una dirección de correo electrónico específica tiene una cuenta en su sitio puede ser ilegal en algunas jurisdicciones. Por ejemplo, aquí en el Reino Unido, debe obtener el consentimiento del usuario antes de revelar esta información.

Una solución alternativa sería solicitar información de seguridad más baja, por ejemplo, fecha de nacimiento, apellido de soltera de la madre, etc., como parte del proceso, antes de revelar si existe la cuenta.

    
respondido por el Jules 29.08.2015 - 11:00
fuente
1

Los sitios donde la privacidad de los usuarios son más importantes, si un usuario intenta iniciar sesión con el correo electrónico y una contraseña incorrecta, es mejor que no le avise si el correo electrónico existe o no. Simplemente hágale saber que está mal y podría pedirle introduzca la contraseña con el número de teléfono móvil / nombre de usuario.

Responder

Es respetar la privacidad de los usuarios ya existentes. De lo contrario, otros podrán saber si un usuario está registrado o no

    
respondido por el aimme 29.08.2015 - 09:28
fuente
1

Su mensaje acerca de intentar registrarse y obtener un mensaje de "esta dirección de correo electrónico ya está en uso o no está disponible" es interesante y parece ser un punto más importante a considerar que el hecho de informar o no a las personas sobre la contraseña olvidada. expedido. Parece que van de la mano.

Si está dispuesto a mostrar el hecho de que un correo electrónico ya está en uso y no se puede usar en una cuenta, por supuesto, avise a las personas si se envió el correo electrónico con la contraseña olvidada.

Pero si su sitio exige anonimato, no puede solicitar correos electrónicos únicos & evitar que las personas intenten usar una que ya está en uso. En su lugar, solo se requiere la verificación del correo electrónico y, de forma predeterminada, solo el propietario real podrá usarlo. Incluso podría bloquearlos de cualquier otra actividad de la cuenta hasta que se verifique el correo electrónico.

    
respondido por el Andrew 30.08.2015 - 02:52
fuente
0

Para mi opinión, en el formulario de restablecimiento, no informamos si el correo electrónico es válido o no. Solo mostramos que el proceso de restablecimiento se envía al correo electrónico enviado. Luego, el contenido del correo electrónico es un mensaje de correo electrónico no válido o un enlace de restablecimiento.

Sin embargo, esta técnica puede ser molesta si alguien usa este formulario de reinicio para enviar correo no deseado a otra persona. Se requieren algunos mecanismos de prevención, como limitar el número de presentaciones.

    
respondido por el kunthet 29.08.2015 - 13:51
fuente

Lea otras preguntas en las etiquetas

¿Por qué TLS 1.3 desaprueba los grupos DHE personalizados? ¿En realidad LUKS encripta completamente los datos en un disco?