Commentaire du traducteur
Nous avons décidé de continuer à traduire les feuilles de sécurité de l' OWASP dans le contexte de récupérations massives de mots de passe après une fuite de base de données sur le service rzd-bonus.ru .
introduction
Afin de mettre en œuvre un système de gestion des utilisateurs approprié, il comprend généralement un service de récupération de mot de passe qui permet aux utilisateurs de réinitialiser leur mot de passe en cas de perte. Malgré le fait que cette fonctionnalité semble assez simple et directe, c'est une source courante de vulnérabilités, dont l'une est la conjecture du nom d'utilisateur . Les courtes instructions suivantes peuvent être utilisées comme un rappel rapide en cas de perte de votre mot de passe:
renvoyer le même message aux comptes existants et inexistants;
assurez-vous que le temps qu'il faudra pour répondre à l'utilisateur est le même;
utilisez un canal tiers pour réinitialiser votre mot de passe;
utilisez des jetons URL pour une mise en œuvre simple et rapide;
assurez-vous que les jetons ou codes générés sont:
;
;
;
.
.
()
, .
, , :
, ;
, , ;
, , CAPTCHA, ;
, , SQL-, .
( ) ( SMS), , .
, ;
, , ;
, ;
, ( !);
. , , .
, .
, , , , .
:
URL;
PIN-;
;
.
, , , . , , , .
(, , PIN- . .). , , . :
;
- JSON (JWT) , ;
, ;
;
, ;
.
URL
URL- URL- . :
URL.
.
Host URL- , HTTP-. URL- , .
, URL- HTTPS.
URL- .
, Referrer-Policy «noreferrer» (. : ), .
, URL-, .
, , .
. , , .
. URL , PIN, . .
PIN-
PIN- — ( 6 12 ), , SMS.
PIN-.
SMS .
PIN , .
PIN- .
PIN-, .
. , , .
, (, PIN-) . - , , . , .
(, ), . OTP, , .
, (, ). , — Google, GitHub Auth0.
:
- 8 , 12 - ;
, , ( );
, ;
, .
, . , .