Komentar penerjemah
Kami memutuskan untuk terus menerjemahkan lembar contekan keamanan dari OWASP dengan latar belakang pemulihan kata sandi besar-besaran setelah kebocoran basis data di layanan rzd-bonus.ru .
pengantar
Untuk menerapkan sistem manajemen pengguna yang tepat, layanan pemulihan kata sandi biasanya diterapkan, yang memungkinkan pengguna untuk menyetel ulang kata sandi mereka jika hilang. Terlepas dari kenyataan bahwa fungsi ini terlihat cukup jelas dan sederhana, ini adalah sumber kerentanan yang umum, salah satunya adalah menebak nama pengguna . Instruksi singkat berikut ini dapat digunakan sebagai pengingat cepat jika Anda kehilangan kata sandi:
mengembalikan pesan yang sama ke akun yang ada dan tidak ada;
pastikan bahwa waktu yang dibutuhkan untuk menjawab pengguna sama;
gunakan saluran pihak ketiga untuk mengatur ulang kata sandi Anda;
gunakan token URL untuk implementasi yang sederhana dan cepat;
pastikan token atau kode yang dihasilkan adalah:
;
;
;
.
.
()
, .
, , :
, ;
, , ;
, , CAPTCHA, ;
, , SQL-, .
( ) ( SMS), , .
, ;
, , ;
, ;
, ( !);
. , , .
, .
, , , , .
:
URL;
PIN-;
;
.
, , , . , , , .
(, , PIN- . .). , , . :
;
- JSON (JWT) , ;
, ;
;
, ;
.
URL
URL- URL- . :
URL.
.
Host URL- , HTTP-. URL- , .
, URL- HTTPS.
URL- .
, Referrer-Policy «noreferrer» (. : ), .
, URL-, .
, , .
. , , .
. URL , PIN, . .
PIN-
PIN- — ( 6 12 ), , SMS.
PIN-.
SMS .
PIN , .
PIN- .
PIN-, .
. , , .
, (, PIN-) . - , , . , .
(, ), . OTP, , .
, (, ). , — Google, GitHub Auth0.
:
- 8 , 12 - ;
, , ( );
, ;
, .
, . , .