Электронная почта с уведомлением о пароле

Электронная почта с уведомлением о пароле — это распространенный метод восстановления пароля , используемый веб-сайтами . Если пользователь забывает свой пароль , ему отправляется электронное письмо для восстановления пароля , содержащее достаточно информации, чтобы пользователь мог снова получить доступ к своей учетной записи . Этот метод восстановления пароля основан на предположении, что только законный владелец учетной записи имеет доступ к почтовому ящику для этого конкретного адреса электронной почты.

Этот процесс часто инициируется тем, что пользователь нажимает на ссылку «Забытый пароль» на веб-сайте, где после ввода имени пользователя или адреса электронной почты электронное письмо с уведомлением о пароле будет автоматически отправлено на почтовый ящик владельца учетной записи. Это электронное письмо может содержать временный пароль или URL-адрес , по которому можно перейти, чтобы ввести новый пароль для этой учетной записи. Новый пароль или URL-адрес часто содержат случайно сгенерированную строку текста, которую можно получить, только прочитав это конкретное письмо. ^[1]

Другой используемый метод — отправить весь или часть исходного пароля по электронной почте. Отправка всего нескольких символов пароля может помочь пользователю запомнить исходный пароль без необходимости раскрывать ему весь пароль.

Проблемы безопасности

Основная проблема заключается в том, что содержимое электронного письма с уведомлением о пароле может легко обнаружить любой, у кого есть доступ к почтовому ящику владельца учетной записи. Это может произойти из-за серфинга через плечо или из-за того, что сам почтовый ящик не защищен паролем. Содержимое может быть использовано для компрометации безопасности учетной записи. Таким образом, пользователь будет нести ответственность либо за безопасное удаление электронного письма, либо за обеспечение того, чтобы его содержимое не было раскрыто кому-либо еще. Частичным решением этой проблемы является истечение срока действия всех ссылок, содержащихся в электронном письме, через определенный период времени, что делает электронное письмо бесполезным, если оно не будет использовано сразу после отправки.

Любой метод, который отправляет часть исходного пароля, означает, что пароль хранится в виде обычного текста и оставляет пароль открытым для атаки хакеров. ^[2] Вот почему для новых сайтов типично создавать новый пароль и генерировать токен. Если сайт будет взломан, содержащийся в нем пароль может быть использован для доступа к другим учетным записям, используемым пользователем, если этот пользователь решил использовать один и тот же пароль для двух или более учетных записей. Кроме того, электронная почта часто небезопасна . Если электронное письмо не было зашифровано перед отправкой, его содержимое может прочитать любой, кто подслушивает электронное письмо.

Ссылки

^ Макбали, Фатма Аль; Митчелл, Крис Дж. (2018). «Восстановление пароля по электронной почте: риск или спасение пользователей?» . Восстановление пароля по электронной почте: риск или спасение пользователей . стр. 1–5. дои : 10.1109/CCST.2018.8585576 . ISBN 978-1-5386-7931-9 . S2CID 53374184 .
^ «Хранилище открытого текста паролей» .

[1] Макбали, Фатма Аль; Митчелл, Крис Дж. (2018). «Восстановление пароля по электронной почте: риск или спасение пользователей?» . Восстановление пароля по электронной почте: риск или спасение пользователей . стр. 1–5. дои : 10.1109/CCST.2018.8585576 . ISBN 978-1-5386-7931-9 . S2CID 53374184 .

[2] «Хранилище открытого текста паролей» .

[1]

[2]