Comentário do tradutor
Decidimos continuar traduzindo as folhas de referência de segurança do OWASP em um cenário de recuperações massivas de senhas após um vazamento de banco de dados do serviço rzd-bonus.ru .
Introdução
Para implementar um sistema de gerenciamento de usuários adequado, geralmente é implementado um serviço de recuperação de senha, que permite aos usuários redefinir sua senha em caso de perda. Apesar do fato de que essa funcionalidade parece bastante direta e simples, é uma fonte comum de vulnerabilidades, uma das quais é a adivinhação do nome de usuário . As instruções curtas a seguir podem ser usadas como um lembrete rápido caso você perca sua senha:
retornar a mesma mensagem para contas existentes e não existentes;
certifique-se de que o tempo de resposta ao usuário seja o mesmo;
use um canal de terceiros para redefinir sua senha;
use tokens de URL para implementação simples e rápida;
certifique-se de que os tokens ou códigos gerados são:
;
;
;
.
.
()
, .
, , :
, ;
, , ;
, , CAPTCHA, ;
, , SQL-, .
( ) ( SMS), , .
, ;
, , ;
, ;
, ( !);
. , , .
, .
, , , , .
:
URL;
PIN-;
;
.
, , , . , , , .
(, , PIN- . .). , , . :
;
- JSON (JWT) , ;
, ;
;
, ;
.
URL
URL- URL- . :
URL.
.
Host URL- , HTTP-. URL- , .
, URL- HTTPS.
URL- .
, Referrer-Policy «noreferrer» (. : ), .
, URL-, .
, , .
. , , .
. URL , PIN, . .
PIN-
PIN- — ( 6 12 ), , SMS.
PIN-.
SMS .
PIN , .
PIN- .
PIN-, .
. , , .
, (, PIN-) . - , , . , .
(, ), . OTP, , .
, (, ). , — Google, GitHub Auth0.
:
- 8 , 12 - ;
, , ( );
, ;
, .
, . , .