¿Debe ser válido un enlace de "restablecimiento de contraseña" después de cambiar el correo electrónico?

5

Aquí está el escenario:

Su cuenta tiene múltiples enlaces activos de "restablecimiento de contraseña" en el mundo. Caducan después de 24 horas, y después de cambiar su contraseña.

En lugar de cambiar su contraseña, luego cambia el correo electrónico de su cuenta. ¿Deben seguir siendo válidos los enlaces para restablecer la contraseña? ¿Es un riesgo de seguridad no invalidarlos?

    
pregunta jdubjdub 24.04.2018 - 18:51
fuente

2 respuestas

9

Yo diría que sí, deberías invalidarlos. El cambio de correo electrónico puede ser debido a que la cuenta de correo electrónico está comprometida. Y no hay ningún daño en invalidarlos, ya que el usuario está claramente conectado y solo puede solicitar otro si lo necesita.

Dicho esto, es mucho más importante enviar un correo electrónico de verificación al correo anterior antes de permitir un cambio y, si el usuario pierde el acceso, envíe un enlace de deshacer válido durante al menos 7 días (lo ideal es más). De lo contrario, corre el riesgo de robo de cuenta.

Por último, si es compatible con 2FA, no debe permitir restablecer ambos factores solo con el correo electrónico.

PS: Además, no debes permitir cambiar el correo por un período de tiempo después del restablecimiento de la contraseña.

    
respondido por el Peter Harmann 24.04.2018 - 18:56
fuente
1

No debería poder cambiar su dirección de correo electrónico si no conoce la contraseña. Si pierde la contraseña y el acceso al correo electrónico de registro, estás jodido.

    
respondido por el ddyer 24.04.2018 - 19:44
fuente

Lea otras preguntas en las etiquetas