Являются ли ссылки для сброса пароля плохой идеей?

У нас есть веб-приложение для сброса пароля. Приложение отправляет код подтверждения на альтернативный адрес электронной почты. Мой менеджер считает, что не стоит включать ссылку на страницу, если вам нужно ввести код.

Я вижу его аргумент. Однако служба поддержки была перегружена пользователями, которые запутались в этом процессе. Я предполагаю, что это связано с тем, что многие наши пользователи просматривают, используя только одну вкладку/окно, и выходят из нашего веб-приложения, чтобы проверить свою электронную почту на наличие кода подтверждения.

Мой вопрос: как нам подойти к этому вопросу? Я хотел бы облегчить службу поддержки и, в свою очередь, сделать этот процесс безболезненным для наших пользователей. Какие-либо предложения?

Уточнение

Он считает, что мы оказываем пользователю медвежью услугу, обучая его переходить по ссылкам от отправителя, который не может быть проверен (в данном случае это автоматическое сообщение с адресом «без ответа»). Это, в свою очередь, сделало бы пользователей более восприимчивыми к попыткам фишинга, с которыми у нас было много проблем в нашей организации.


passwords security password-recovery
person Belmin Fernandez    schedule 30.11.2010    source источник
comment
почему ваш менеджер считает, что ссылка на страницу, где вы вводите код, плохая идея?   -  person bcosca    schedule 30.11.2010
comment
Какие вопросы задавала служба поддержки? Как вы думаете, почему использование вкладок уместно?   -  person Martin v. Löwis    schedule 30.11.2010
comment
@Martin Вопрос: Я получил этот код и пытаюсь ввести его, но ничего не происходит. Они вводят его в поле пароля вместо того, чтобы перейти по ссылке «Введите код подтверждения» на главной странице.   -  person Belmin Fernandez    schedule 30.11.2010
comment
@stillstanding Он считает, что мы оказываем пользователю медвежью услугу, обучая его переходить по ссылкам от отправителя, который не может быть проверен (в данном случае это автоматическое сообщение).   -  person Belmin Fernandez    schedule 30.11.2010
comment
Может быть, вы могли бы поместить в электронное письмо или на страницу подтверждения после того, как пользователь щелкнул забыл пароль, предупреждение, чтобы проверить электронную почту и убедиться, что URL-адрес указывает на правильный веб-сайт?   -  person Platinum Azure    schedule 01.12.2010
comment
Это не имеет смысла. Пользователь ожидает, что почта придет, как ваша служба укажет на экране, когда он ее попросит. И фальшивые письма будут приходить в ваш почтовый ящик в любом случае.   -  person Eiko    schedule 01.12.2010
comment
@Eiko Это не проблема, когда пользователь ожидает электронное письмо. Это больше о том, чтобы пользователи доверяли ссылкам в электронной почте.   -  person Belmin Fernandez    schedule 01.12.2010
comment
@Nimmy: отправителя сообщения можно подделать. Вместо этого вы должны научить пользователей проверять, ведет ли ссылка на правильный адрес.   -  person bcosca    schedule 01.12.2010
comment
@stillstanding Я сделал это своим ответом ему +1.   -  person Belmin Fernandez    schedule 01.12.2010
comment
Возможно, следует рассмотреть возможность единого входа в систему для вашей организации. Возможно, вы захотите интегрировать модули аутентификации ваших веб-приложений с вашей службой электронной почты. Если пользователь забудет пароль для одной службы, ему придется сбросить все.   -  person bcosca    schedule 01.12.2010
comment
@stillstanding У нас уже есть общая система учетных данных. Мы используем LDAP для аутентификации. Проблема не в аутентификации. Это путаница, которую мы вызываем, не отправляя ссылку на форму кода подтверждения сброса пароля.   -  person Belmin Fernandez    schedule 01.12.2010

Ответы (3)


arrow_upward
1
arrow_downward

Я думаю, что отправка ссылок — это стандартный способ сделать это. Если клиент действительно беспокоится о целостности этой учетной записи электронной почты, ему лучше сначала разобраться с этим.

По сути, вы не получаете дополнительной безопасности, не отправляя ссылку, но вы получаете много комфорта. Просто сделай это как все - вставь туда (ограничено по времени).

person Eiko    schedule 30.11.2010

arrow_upward
1
arrow_downward

Единственное, о чем следует помнить, это возможность иметь уникальный идентификатор в теме электронного письма, чтобы клиенты отвечали на это письмо.

Затем автоматический скрипт проверяет «забытый пароль@mycompany.de» на наличие писем с темой «Re: Забыли пароль? [УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР]'. Затем сценарий отправит им новый пароль по почте.

Поскольку большинство пользователей не будут изменять тему при нажатии «Ответить на» и не будут делать «Создать новое письмо» и вводить адрес получателя вручную, шансы велики, входящие письма на «забытый пароль» будут иметь этот UNIQUEID в предмет.

Кроме того, служба поддержки будет помогать только тем, кто действительно изменяет «Тему» электронного письма. ;-)

Однако есть соображения безопасности. Возможно, ваш менеджер может возразить, что кто-то может отправить поддельное письмо «Забыли пароль» и установить заголовок «Reply-To» на адрес злоумышленника. Скрипт обработки должен перехватывать эти попытки подделки...

person Linus Kleen    schedule 30.11.2010

arrow_upward
0
arrow_downward

Я не вижу причин, по которым не следует включать ссылку, особенно если код представляет собой что-то вроде хеша, потому что шансы на то, что кто-то его взломает, ничтожно малы.

Однако вы можете добавить дополнительную защиту на страницу, на которую вставляется код, и ограничить количество попыток примерно до 3. Для еще большей защиты отправьте адрес электронной почты на эту страницу и разрешите 3 попытки для каждого адреса электронной почты. вместо 3-х попыток/IP, которые можно легко обойти.

person Valentin Flachsel    schedule 30.11.2010