Quels sont les avantages et les inconvénients des liens de modification de récupération de mot de passe dans un courrier électronique?
Bien que de nombreux sites envoient toujours votre mot de passe en texte brut par courrier électronique, un Push a été utilisé pour envoyer une URL de page Web à la place.
Mais comment cela peut-il être plus sécurisé que le mot de passe en texte clair? Si quelqu'un doit intercepter votre courrier électronique, il obtient votre mot de passe de toute façon. L'envoi de l'URL par courrier électronique n'est-il pas simplement une illusion de sécurité?
Si vous recevez votre mot de passe par e-mail et que trois mois plus tard, une personne y a accès, elle peut accéder à votre compte (à moins que vous n'ayez modifié le mot de passe, ce qui est peu probable). Si un lien de réinitialisation de mot de passe vous est envoyé par courrier électronique et que trois mois plus tard, votre compte est enregistré sur votre compte, il ne fera rien car, même si vous ne l'avez pas utilisé, il aura expiré. Cela réduit considérablement la période de temps pendant laquelle une modification de courrier électronique peut donner à l'attaquant l'accès à votre compte.
Il ne s'agit pas d'envoyer par courrier électronique des mots de passe en texte brut ou une URL, mais de les stocker en texte brut et de les hacher. Stocker des mots de passe en texte brut n’est pas considéré sécurisé. En effet, si le site (ou le serveur, ou la base de données ...) est exploité (e), le pirate informatique a accès au compte de l'utilisateur sur ce site ainsi qu'à tout autre site sur lequel il utilise le même nom d'utilisateur. mot de passe. Un mot de passe correctement haché (et salé) n'a pas cette vulnérabilité.
Un site qui stocke les mots de passe de manière sécurisée ne peut pas vous envoyer votre mot de passe, car il ne sait pas quel est votre mot de passe. C'est pourquoi une adresse URL non devinable vous permettant de réinitialiser votre mot de passe est envoyée à la place.
Si le système que vous sécurisez est suffisamment sensible pour protéger les utilisateurs contre le piratage de leur messagerie, envisagez d'utiliser authentification à deux facteurs pour renforcer la sécurité.