1. Zuhause
  2. Frage und Antwort
  3. Warum sollten wir die Kontoaktivierung/das Zurücksetzen von Passwörtern nach einiger Zeit ablaufen lassen?

Warum sollten wir die Kontoaktivierung/das Zurücksetzen von Passwörtern nach einiger Zeit ablaufen lassen?

2010-12-23 15 views
5

Wäre es große Probleme, wenn sie nie ablaufen?Warum sollten wir die Kontoaktivierung/das Zurücksetzen von Passwörtern nach einiger Zeit ablaufen lassen?

Jemand hat sein Passwort vergessen und möchte sein Passwort zurücksetzen, eine E-Mail mit dem Link zum Zurücksetzen des Passworts wird an ihn gesendet.

Er erinnert sich plötzlich an sein Passwort und so ignoriert er einfach die E-Mail zum Zurücksetzen des Passworts. Aber nach ein paar Tagen hat er wieder vergessen. Da er bereits eine E-Mail zum Zurücksetzen des Passworts in seiner Mailbox eingerichtet hat, klickt er einfach auf diesen Link, um zur Zurücksetzung seines Passworts auf die Website zurückzukehren.

Das scheint in Ordnung zu sein, warum sollten wir die Kontoaktivierung/das Zurücksetzen von Passwörtern nach einiger Zeit ablaufen lassen?

Quelle

2010-12-23 bobo

+2

Dies ist einer der Fälle, in denen die potenziellen Vorteile des Ablaufs (in Bezug auf Sicherheit und Datenschutz) die Nachteile überwiegen (in Ihrem Beispiel muss der Benutzer nicht zurückgehen und ein weiteres Zurücksetzen des Kennworts anfordern). Wenn Sie keinen guten Grund haben * nicht zu *, folgen Sie dem Standard. –

Antwort

7

Was ist, wenn ihr E-Mail-Konto kompromittiert wurde? Der Angreifer sieht dann alle diese "Kennwortzurücksetzungs" -Links und Klicks durch sie, wodurch weitere Konten gefährdet werden. Unter ihnen Ihr Dienst, der Real Money oder Kreditkarteninformationen verwenden kann.

Quelle

2010-12-23 02:48:38 EnabrenTane

+6

Wenn sein E-Mail-Konto manipuliert wurde und der Angreifer diese E-Mail sieht, obwohl er nicht dauerhaft ist und bereits abgelaufen ist, kann er trotzdem auf diese Website gehen und eine E-Mail zur Zurücksetzung des Passworts anfordern Konto. – bobo

+1

Reset-Passwort-Links sollten auch als * used * markiert werden, damit Sniffer und Request-Logs nicht mehr zum Zurücksetzen von Passwörtern verwendet werden können. – crizCraig

+0

Sobald Ihre E-Mail kompromittiert ist, sind Sie ziemlich verwirrt, was Konten betrifft, aber mit einer Form von leicht zu merkenden Challenge und Response (Sie wissen, der Standard "Was war Ihr erstes Haustier Name?" Zeug) kann Reset-Links etwas sicherer gegen den gelegentlichen Hacker. Ein Hacker, der auf eine bestimmte Person abzielt, hat diese Information wahrscheinlich oder kann sie leicht finden, aber dann ist es jemand, der Zeit und Mühe darauf verwendet, die Online-Identität einer bestimmten Person zu kompromittieren. – Endophage

 Verwandte Themen

  • Keine verwandten Themen^_^