Kommentar des Übersetzers
Wir haben uns entschlossen, die Sicherheits-Spickzettel von OWASP vor dem Hintergrund massiver Kennwortwiederherstellungen nach einem Datenbankleck beim Dienst rzd-bonus.ru weiter zu übersetzen .
Einführung
Um ein ordnungsgemäßes Benutzerverwaltungssystem zu implementieren, wird normalerweise ein Kennwortwiederherstellungsdienst implementiert, mit dem Benutzer ihr Kennwort zurücksetzen können, wenn es verloren geht. Trotz der Tatsache, dass diese Funktionalität ziemlich einfach und unkompliziert aussieht, ist sie eine häufige Ursache für Sicherheitslücken, von denen eine das Erraten von Benutzernamen ist . Die folgenden kurzen Anweisungen können als schnelle Erinnerung verwendet werden, falls Sie Ihr Passwort verlieren:
Geben Sie dieselbe Nachricht an vorhandene und nicht vorhandene Konten zurück.
Stellen Sie sicher, dass die Zeit, die für die Beantwortung des Benutzers benötigt wird, dieselbe ist.
Verwenden Sie einen Drittanbieter-Kanal, um Ihr Passwort zurückzusetzen.
Verwenden Sie URL-Token für eine einfache und schnelle Implementierung.
Stellen Sie sicher, dass die generierten Token oder Codes:
;
;
;
.
.
()
, .
, , :
, ;
, , ;
, , CAPTCHA, ;
, , SQL-, .
( ) ( SMS), , .
, ;
, , ;
, ;
, ( !);
. , , .
, .
, , , , .
:
URL;
PIN-;
;
.
, , , . , , , .
(, , PIN- . .). , , . :
;
- JSON (JWT) , ;
, ;
;
, ;
.
URL
URL- URL- . :
URL.
.
Host URL- , HTTP-. URL- , .
, URL- HTTPS.
URL- .
, Referrer-Policy «noreferrer» (. : ), .
, URL-, .
, , .
. , , .
. URL , PIN, . .
PIN-
PIN- — ( 6 12 ), , SMS.
PIN-.
SMS .
PIN , .
PIN- .
PIN-, .
. , , .
, (, PIN-) . - , , . , .
(, ), . OTP, , .
, (, ). , — Google, GitHub Auth0.
:
- 8 , 12 - ;
, , ( );
, ;
, .
, . , .