Comentario del traductor
Decidimos continuar traduciendo hojas de trucos de seguridad de OWASP en el contexto de recuperaciones masivas de contraseñas después de una filtración de la base de datos en el servicio rzd-bonus.ru .
Introducción
Para implementar un sistema de administración de usuarios adecuado, generalmente se implementa un servicio de recuperación de contraseña, que permite a los usuarios restablecer su contraseña si se pierde. A pesar de que esta funcionalidad parece bastante sencilla y sencilla, es una fuente común de vulnerabilidades, una de las cuales es adivinar el nombre de usuario . Las siguientes instrucciones breves se pueden utilizar como recordatorio rápido en caso de que pierda su contraseña:
devolver el mismo mensaje a las cuentas existentes y no existentes;
asegúrese de que el tiempo necesario para responder al usuario sea el mismo;
utilizar un canal de terceros para restablecer su contraseña;
use tokens de URL para una implementación simple y rápida;
asegúrese de que los tokens o códigos generados sean:
;
;
;
.
.
()
, .
, , :
, ;
, , ;
, , CAPTCHA, ;
, , SQL-, .
( ) ( SMS), , .
, ;
, , ;
, ;
, ( !);
. , , .
, .
, , , , .
:
URL;
PIN-;
;
.
, , , . , , , .
(, , PIN- . .). , , . :
;
- JSON (JWT) , ;
, ;
;
, ;
.
URL
URL- URL- . :
URL.
.
Host URL- , HTTP-. URL- , .
, URL- HTTPS.
URL- .
, Referrer-Policy «noreferrer» (. : ), .
, URL-, .
, , .
. , , .
. URL , PIN, . .
PIN-
PIN- — ( 6 12 ), , SMS.
PIN-.
SMS .
PIN , .
PIN- .
PIN-, .
. , , .
, (, PIN-) . - , , . , .
(, ), . OTP, , .
, (, ). , — Google, GitHub Auth0.
:
- 8 , 12 - ;
, , ( );
, ;
, .
, . , .