Ccreación de la contraseña del usuario no asegura la confidencialidad

De Safeval Wiki
Saltar a: navegación, buscar

Sólo el usuario debe conocer su contraseña. Incluso los administradores de sistemas no deberían ser capaces de conocer la contraseña de un usuario determinado. Cualquier persona, incluso internamente, con acceso a la contraseña del usuario impide la trazabilidad de vincular al usuario sus acciones. Esto evita que la rendición de cuentas de usuario para sus acciones. Si un usuario está atrapado cometer un fraude, siempre puede decir que no era él, sino uno de los administradores que también conocen su contraseña.

Hay dos maneras de implementar este control. Tanto supone que el registro de la contraseña en la base de datos se hace bien. La creación de la contraseña puede ser una de estas dos maneras:

  1. El usuario introduce su propia contraseña en el registro;
  2. El sistema genera una contraseña temporal o un token de activación que el uso al usuario configurar su contraseña;

Tenga en cuenta que en el segundo caso, el nivel de seguridad del símbolo debe ser al menos similar a la contraseña y debe obligó al cambio en el primer inicio de sesión. El testigo debe ser generado de forma aleatoria por el sistema y debe tener una validez limitada. El modo de transmisión de este símbolo para el usuario es generalmente por correo electrónico.