忘记密码漏洞
忘记密码漏洞
提问于 2017-01-14 02:41:26
我今天访问了我的银行网站,目的是登录银行。我输入了我的用户名,并在没有输入密码的情况下按回车意外。它带我到一个页面,选择如何获得我的安全代码,换句话说,忘记密码页。我选择了我的电话号码打电话给我,当输入验证代码时,它会带我到一个页面重置我的密码。
我假设许多服务都实现了类似于此的模型,但似乎很难找到这样一种情况:有人使用某种可公开访问的计算机,无论是在咖啡店,还是在某种工作环境中,访问他们的银行帐户,并让浏览器记住他们的用户名。获得这款手机可能有点棘手,但并非不可能,因为这是一个电话,我不需要知道一个PIN号码才能进入,我只是需要能够回答它,当它响起。
一封带有密码重置链接的电子邮件不是更好的模型吗?
也许我过于简单化了问题的复杂性,但似乎没有人有疑问的动机会有那么大的野心。
回答 1
Security用户
发布于 2017-01-14 03:18:11
虽然不太常见,但要求实际拥有的东西是一种完全有效的身份验证形式。许多双因素登录系统使用短信或电话作为第二个因素。
我假设许多服务都实现了类似于此的模型,但如果有人使用某种公共可访问的计算机,这似乎相当简单。
对于任何敏感的工作,公共计算机都是不可信赖的。对于公共计算机,键盘记录器(包括硬件和软件)可能是最危险的威胁,在这种情况下,重置电子邮件可能更糟。通过捕获您的电子邮件登录,攻击者将访问任何帐户的密码重置链接到该电子邮件。
总之,这两种方法各有优缺点。哪一种更好取决于你想要防范的威胁类型。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/148330
复制相关文章
相似问题
腾讯云开发者
