¿Es la característica de "contraseña perdida" realmente una vulnerabilidad?

2

Deshabilitando restablecimientos de contraseña

He encontrado numerosos artículos de seguridad relacionados con varias medidas para deshabilitar los restablecimientos de contraseñas (es decir, recuperación de contraseñas perdidas).

enlace

Inyección SQL

He leído que la inyección de SQL se puede utilizar para obtener el correo electrónico del usuario, etc. y, en última instancia, para obtener el control del sitio al interceptar el correo electrónico de restablecimiento de contraseña que se envía automáticamente a un usuario.

enlace

¿Vulnerabilidad grave?

Si ya estoy protegido contra inyecciones de SQL (a través del complemento de seguridad), ¿necesito deshabilitar la función de restablecimiento de contraseña? ¿Es realmente una vulnerabilidad seria?

Los ataques de fuerza bruta están en aumento. Me he encontrado con varios casos en los últimos meses.

    
pregunta Clarus Dignus 13.01.2016 - 14:02

2 respuestas

3
  

»El único sistema realmente seguro es el que está apagado, fundido en un bloque de concreto y sellado en una habitación forrada de plomo con guardias armados, y aún así tengo mis dudas.« (Gene Spafford)

La función de contraseña perdida podría ser potencialmente un riesgo, pero si la mantiene o no es solo una cuestión de evaluación de riesgos. Para esa evaluación, seguramente no hay una respuesta, usted mismo debe evaluarla en su caso. Por último, pero no menos importante, personalmente diría que no es, hasta cierto punto, inseguro, lo que justificaría la sugerencia de eliminar siempre la función. Así que no diría que, en general, es una vulnerabilidad grave.

    
respondido por el Nicolai 13.01.2016 - 14:38
3

La pregunta no es si se puede abusar de la función, sino ¿cuál es la alternativa? recuperar la contraseña perdida es importante ya que la mayoría de los usuarios no tienen acceso a la base de datos y no pueden actualizar la base de datos manualmente.

Al eliminar la función de cualquier sitio con más de un usuario, o con usuarios que no son técnicos, existe la posibilidad de que alguien se moleste por la cantidad de llamadas que recibe para restablecer las contraseñas de los usuarios.

Si elimina la capacidad de restablecer la contraseña, dañará todo el flujo de trabajo de inicio de sesión y también podría reemplazarla con algo completamente diferente, tal vez confiar en SSO como FB o en algún tipo de autenticación de 2 factores.

  

Los ataques de fuerza bruta están en aumento

El hecho de que haya más chiquillos de guiones jugando con guiones de fuerza bruta no los hace más peligrosos. Con todos los complementos y temas inseguros en libertad, el forzamiento brutal es solo una pérdida de tiempo que solo las personas que seleccionan contraseñas estúpidas (bueno, hay mucha gente así) son hackeadas de esa manera.

    
respondido por el Mark Kaplun 13.01.2016 - 15:12

Lea otras preguntas en las etiquetas