Preguntas con etiqueta 'password-reset'

5
respuestas

¿Cómo puede ser seguro esperar 24 horas para cambiar la contraseña?

Así que logré cambiar mi contraseña en un servicio a la contraseña "incorrecta", para simplificar, digamos que la cambié por una contraseña insegura. Ahora, quería cambiarlo por una contraseña más segura, pero en lugar de eso recibí un mensaj...
hecha 03.04.2017 - 11:36
8
respuestas

¿Por qué debería redirigir al usuario a una página de inicio de sesión después de restablecer la contraseña?

La OWASP Forgot Password Cheat Sheet sugiere:    Siempre que se produzca un restablecimiento exitoso de la contraseña, la sesión se debe invalidar y el usuario debe redirigir a la página de inicio de sesión No entiendo por qué esto es t...
hecha 10.11.2015 - 14:57
10
respuestas

¿Son aceptables las fallas de seguridad si no se puede derivar mucho daño de ellas?

Recientemente, descubrí una falla de seguridad en un sitio web comercial. Este sitio web tiene un "Área de Socios" protegido por contraseña, y al igual que muchos sitios web, proporciona un formulario para restablecer la contraseña del usuario....
hecha 24.07.2016 - 23:27
4
respuestas

¿Cómo implementar la funcionalidad de "contraseña olvidada"?

Para mi proyecto necesito una funcionalidad " cambiar contraseña ". Todavía no estoy seguro de cómo implementar este tipo de funcionalidad, así que esperaba encontrar algunas "mejores prácticas" en Internet, pero no encontré nada útil que tra...
hecha 18.03.2016 - 11:13
5
respuestas

¿Debo registrar que un usuario cambió su contraseña?

¿Hay algún problema de seguridad con el registro de que un usuario haya cambiado su contraseña? Ya estoy iniciando sesión cada vez que un administrador cambia la contraseña de un usuario para fines de auditoría, pero ¿hay alguna razón para no te...
hecha 15.05.2018 - 15:03
10
respuestas

¿Cómo lograr un equilibrio entre las políticas de seguridad y los desafíos de implementación práctica? [duplicar]

En nuestra organización, encontramos algunos incidentes frecuentes, tales como: Se informaron ataques de adivinación de contraseña exitosos Quejas frecuentes de restablecimiento de contraseña Comenzamos una investigación para iden...
hecha 01.07.2018 - 11:19
2
respuestas

¿Deben estar ocultos los tokens de restablecimiento de contraseña cuando se almacenan en una base de datos?

Las contraseñas están encriptadas, de modo que si alguien obtiene acceso a una base de datos de contraseñas, no sabrán cuáles son las contraseñas reales y no pueden iniciar sesión. Sin embargo, si puedo obtener un token de restablecimiento de...
hecha 26.04.2015 - 18:01
3
respuestas

¿Por qué los enlaces de restablecimiento de una contraseña son más seguros que las contraseñas de un solo uso?

Recientemente solicité un trabajo en una empresa que creaba    soluciones críticas para la seguridad para militares, aeroespaciales, ... Después de registrarme en su página web, recibí un correo electrónico con mi nombre de usuario y una...
hecha 20.01.2017 - 02:21
2
respuestas

¿Existe algún riesgo al enviar el nombre de usuario en un correo electrónico de restablecimiento de contraseña?

Estamos usando un CMS que tiene una función de restablecimiento de contraseña que funciona de acuerdo con las mejores prácticas listas para usar. Las contraseñas se almacenan como hashes con sal La contraseña olvidada funciona así: El us...
hecha 20.06.2013 - 16:00
3
respuestas

Olvidó su contraseña: “La nueva contraseña debe tener un mínimo de 4 caracteres diferentes de la contraseña anterior” [duplicar]

Esto se encontró en una función de restablecimiento de contraseña de un sitio web del gobierno, donde ingresas tu nombre de usuario, luego te lleva a una pantalla donde puedes ingresa una nueva contraseña ingresar la confirmación de...
hecha 22.04.2017 - 05:46