Recuperación de la contraseña requiere almacenamiento de contraseñas reversible

De Safeval Wiki
Saltar a: navegación, buscar

La función de recuperación de contraseña asume que la contraseña es almacenada en texto claro o en un cifrado reversible en la base de datos. En cualquier caso, la contraseña puede ser recuperada por los administradores del sistema. Esto evita que la rendición de cuentas de usuario para sus acciones. Si un usuario es sorprendido cometiendo un fraude, siempre puede decir que no era él, sino uno de los administradores que también conocen su contraseña. Además de la posibilidad de un ataque por el administrador del sistema, utilizando contraseñas recuperadas en la base de datos y también hay un riesgo de interceptación y la ruptura de la confidencialidad de la contraseña por terceros.

La función de recuperación de contraseñas siempre deben genera una contraseña temporal o un token de activación que el usuario utilizará para configurar su nueva contraseña. El nivel de seguridad del token o de la contraseña temporal deben ser al menos similar a la contraseña y el usuario debe obligó al cambio de la contraseña en el siguiente inicio de sesión. La contraseña temporal o token debe ser generado de forma aleatoria por el sistema y debe tener una validez limitada. El modo de transmisión de este símbolo para el usuario es generalmente por correo electrónico.