Cuenta de usuario sin contraseña

Question

Cuenta de usuario sin contraseña

#1 de schroeder (73 votos)
#2 de Kolappan Nathan (66 votos)
#3 de elsadek (21 votos)
#4 de Conor Mancone (7 votos)
#5 de Joseph A. (4 votos)
#6 de mentallurg (0 votos)

44

Actualmente estoy buscando trabajo y, a veces, me encuentro con sitios que son solo grandes bases de datos de ofertas de trabajo completas, y antes de presentar una solicitud, debe crear una cuenta. Encontré un sitio , pero soy escéptico acerca de sus prácticas de seguridad.

Cuando encontré un puesto de trabajo que quería solicitarle a mi dirección de correo electrónico, lo ingresé. Un mensaje emergente me solicitó mi currículum y la información de contacto habitual. Proporcioné la necesidad que necesitaba y envié mi solicitud.

Sin embargo, noté que usó mi dirección de correo electrónico y creó una cuenta de usuario sin pidiéndome una contraseña.

Inmediatamente, esto me alarmó, así que revisé mi correo electrónico pensando que el sitio me proporcionó una contraseña temporal que me exige cambiar, solo para descubrir que tenía que confirmar mi dirección de correo electrónico y luego se le solicitará que ingrese una contraseña. Desde mi perspectiva, tuve una cuenta de usuario sin contraseña durante unos 3-5 minutos.

¿Tenía derecho a ser escéptico? ¿Debo eliminar mi cuenta?

passwords account-security

pregunta 04.07.2018 - 17:36

fuente

6 respuestas

Lea otras preguntas en las etiquetas passwords account-security

¿Cómo sobrescribe un nuevo mensaje SMS uno anterior? Revisión de seguridad - implementación de password_hash para PHP

score 73 · Answer 1

El hecho de que no haya establecido una contraseña no significa que se pueda acceder a su cuenta. Sin ver el código, no puedo estar seguro, pero es posible que no pueda iniciar sesión en su cuenta hasta que haya utilizado el enlace en el correo electrónico para establecer la contraseña. Seguía usando la misma ID de sesión mientras seguía usando el sitio.

score 66 · Answer 2

Como programador que ha creado un flujo de trabajo de registro de usuarios como este, puedo asegurarle que no hay nada de qué preocuparse .

Un poco de información de fondo

Cuando ingresa su correo electrónico, no se crea una cuenta de usuario (sí, lo leyó correctamente). El correo electrónico, enlace, tiempo de caducidad y otros detalles se almacenan. Una vez que verifique su correo electrónico e ingrese la contraseña, se creará una nueva cuenta de usuario.

Después de algún tiempo, si la cuenta de usuario no se verifica, se eliminará toda la información relacionada con el usuario.

Entonces, lo que sucedió aquí es que su correo electrónico se verifica antes del proceso de registro.

¿Por qué se hace esto?

Hicimos esto para evitar la creación de cuentas de usuario falsas. También evita que alguien cree una cuenta de usuario asociada a su correo electrónico.

Ahora para responder a tus preguntas

¿Tenía derecho a ser escéptico? ¿Debo "borrar" mi cuenta?

No es necesario eliminar tu cuenta. Este es un comportamiento poco común pero no perjudicial. Es solo una medida de seguridad adicional.

score 21 · Answer 3

Sin embargo, noté que usó mi dirección de correo electrónico y creó un usuario. cuenta sin pedirme una contraseña.

Este enfoque tiene que ver con proporcionar la experiencia del usuario con más comodidad; quieren tu currículum e información pero no quieren molestarte con adivinar la contraseña, así que te dejan con la opción de tomar tu tiempo para establecer tu contraseña o nunca volver, después de todo, tienen tus datos.

Si usa otro navegador o máquina para cargar su currículum con el mismo correo electrónico, probablemente se le informará de que ya existe otra cuenta con el mismo correo electrónico, pero usted o cualquier otra persona no puede acceder a esa cuenta sin el enlace que envió. para usted (pero no necesariamente, ya que depende de cómo gestionen las ID únicas)

¿Tenía derecho a ser escéptico? ¿Debo "borrar" mi cuenta? yo digo elimínelo entre comillas, porque quién sabe si esto se hará.

Este enfoque es muy común.
No tiene que eliminar su cuenta, a menos que tenga otra razón.

score 7 · Answer 4

Primer punto importante: a menos que hayan hecho algo realmente tonto, una cuenta sin contraseña no es un riesgo de seguridad. En cambio, sería una práctica normal que alguien no pueda iniciar sesión en una cuenta sin una contraseña. Desde esa perspectiva, crear una cuenta sin una contraseña, enviar un correo electrónico al usuario para confirmar, y luego hacer que establezcan una contraseña no es más o menos seguro que establecer una contraseña temporal. Como resultado, no existe una verdadera preocupación de seguridad aquí.

score 4 · Answer 5

Piénselo de esta manera: el enlace que le proporcionó el correo electrónico es, en cierto modo, su contraseña temporal. Es una contraseña temporal "especial" que le permite crear una contraseña real.

Mira el enlace. ¿Contiene un token largo / cadena? Si es así, (y si se implementa correctamente, de lo que nunca puede estar 100% seguro), entonces es tan seguro como enviar una contraseña temporal literal.

Ahora, si el enlace no contiene un token y es una URL corta y fácil de adivinar, es posible que esté utilizando la sesión que ha establecido al crear la cuenta. Si tampoco lo está haciendo, entonces el sistema es verdaderamente vulnerable, ya que cualquiera podría adivinar dicha URL y cambiar la contraseña de la cuenta asociada.

score 0 · Answer 6

No veo ninguna razón para eliminar la cuenta.

y creé una cuenta de usuario ... Tenía una cuenta de usuario . ¿Cómo sabes que se creó realmente? ¿Ha intentado iniciar sesión antes de confirmar su correo electrónico? Puede que no se haya creado ninguna cuenta. Puede que se haya creado solo después de que hayas confirmado tu correo electrónico.
Se puede crear una cuenta, pero se deshabilitó desde el principio hasta que confirme su correo electrónico.