0
나는 모든 것을 수색했으며 이에 대한 답변을 찾을 수 없습니다. 사용자가 비밀번호를 잊어 버린 비밀번호 재설정 시나리오에서 해당 시스템은 사용자가 새 비밀번호를 선택할 수있는 안전한 페이지로 안내하는 사용자의 등록 이메일로 임시 토큰/링크를 전송해야합니다. .비밀번호 변경시 이메일 활성화 링크를 보내야합니까? (재설정 또는 잊어 버린 비밀번호가 아닌)?
내가 물어 보는 것은 사용자가 현재 암호를 알고 변경하려는 경우입니다. 나는 중 하나를 제안하고있다. 1) 사용자는 이전 패스워드와 새로운 패스워드를 입력 할 수 있으며, 변경을 확인하기 위해 링크를 클릭하라는 요청을 이메일로 보낸다. 또는 2) 사용자는 현재 비밀번호를 입력하고 새로운 비밀번호 선택 화면으로 연결되는 링크가 포함 된 이메일을 받게됩니다.
그러나이 프로세스는 어디에도 사용되지 않습니다. 이 접근 방식으로 더 이상 보안을 구입하지 않는 이유가 있습니까? 아니면이 접근 방식에 보안 결함이 있습니까?
2 단계 인증 유형이므로 추가 보안 레이어가 추가 될 것입니다. 사용자의 암호가 유출되었지만 암호가 사용자의 전자 메일 암호와 다른 경우 공격자가 사용자의 전자 메일에 액세스 할 수있는 다른 방법이없는 경우를 생각해보십시오. 공격자가 암호 변경 확인 링크를 클릭 할 수 없기 때문에 공격자는 소유자를 잠글 수 없습니다. 추가 혜택으로, 누군가가 계좌를 개설하려한다는 사실을 계좌 소유자에게 알리는 역할을합니다.
이것은 단순히 추가 번거 로움의 가치가없는 것으로 간주됩니까?
두 번째 이유는 내가 의심 한 것입니다. 내 방법은 사용자가 잠기지 못하게하는 데 도움이 될 것이라고 생각했지만, 어쨌든 비밀번호 재설정을 요청할 수 있으므로 문제가되지 않습니다. 감사! – jyoung
당신을 진심으로 환영합니다. – Aurand