Preguntas con etiqueta 'password-reset'

preguntas con etiqueta
2
respuestas

Cuándo y por qué enviar una notificación por correo electrónico de restablecimiento de contraseña

La documentación de Devise indica que "For Por motivos de seguridad, a veces es necesario notificar a los usuarios cuando cambian sus contraseñas ". En general, ¿cuándo necesitaría proporcionar dicha notificación y por qué?     
hecha 31.01.2018 - 20:01
6
respuestas

Restablecimiento de la contraseña: ¿ID de usuario y marca de tiempo firmados criptográficamente o valor generado aleatoriamente?

¿Cuáles son las ventajas y desventajas de las diferentes formas de manejar los enlaces de restablecimiento? Veo dos formas de manejarlos: Genere una cadena aleatoria, por ejemplo con uuid4. Guárdelo en la base de datos con el usuario y envíe...
hecha 06.01.2017 - 19:47
2
respuestas

¿Por cuánto tiempo debe permanecer válida una ficha de restablecimiento de contraseña?

¿Cuál es la vida útil recomendada de un token de restablecimiento de contraseña? Demasiado corto degradará la experiencia del usuario y demasiado tiempo comprometerá la seguridad.     
hecha 23.11.2018 - 10:47
1
respuesta

Guardar el token de restablecimiento de contraseña en la base de datos: ¿cuáles son las implicaciones?

En los sistemas múltiples que he construido / soportado, he visto a la administración de usuarios hacer lo siguiente para restablecer la contraseña: generó un token de restablecimiento de contraseña a través de algún método de hashing y envía po...
hecha 06.12.2018 - 15:47
2
respuestas

¿Es malo permitir que los administradores cambien el correo electrónico de un usuario al restablecer las contraseñas?

Estoy confundido acerca de cómo implementar la funcionalidad de restablecimiento de contraseña. Estoy probando una aplicación web con dos roles: administrador y usuario normal. Solo los administradores pueden usar la funcionalidad de restablecim...
hecha 09.01.2018 - 20:04
1
respuesta

¿Cómo solicitar de manera segura una verificación de PII / cuenta adicional?

Ya que es una mala práctica pedir a los usuarios que hagan clic en una URL dentro de un correo electrónico para verificar su identidad debido a preocupaciones de phishing, ¿cuál es la mejor manera de preguntarle a un usuario que es necesaria inf...
hecha 09.08.2016 - 20:07
1
respuesta

Cómo superar el riesgo de que la cuenta se vea comprometida usando OTP cuando se roba un dispositivo móvil

¿Cuál es la forma preferida de proporcionar una funcionalidad de "restablecimiento de contraseña" para una aplicación instalada en un dispositivo móvil? En las aplicaciones móviles, generalmente el restablecimiento de contraseña funciona medi...
hecha 06.07.2016 - 07:07
5
respuestas

Usando el hash de la contraseña como token de restablecimiento

Tuve la idea de que, en lugar de generar un token de restablecimiento de contraseña y enviarlo por correo electrónico al usuario, simplemente le envío por correo electrónico la contraseña de hash del usuario. Luego, al reiniciar, el usuario envi...
hecha 27.08.2017 - 22:47
3
respuestas

¿Es seguro enviar un enlace de recuperación de contraseña para la aplicación de la compañía a la dirección de correo electrónico personal de un empleado?

Me gustaría automatizar la recuperación de la contraseña para los empleados de una empresa. Sin embargo, el problema es que no todos los empleados tienen una cuenta de correo electrónico corporativo y algunos empleados no pueden acceder a su cor...
hecha 04.06.2016 - 09:27
1
respuesta

¿Es más segura la nueva recuperación delegada de Facebook que un sistema de recuperación tradicional?

Estaba leyendo el recuperación de contraseña delegada proceso introducido por Facebook. Estoy tratando de relacionar todo el proceso con los mecanismos tradicionales de recuperación de contraseña (es decir, enviar un correo electrónico para...
hecha 02.02.2017 - 11:09