Recuperação de senha requer armazenamento de senha reversível

De Safeval Wiki
Ir para: navegação, pesquisa

A função de recuperação de senha assume que a senha é armazenada em texto simples ou em uma criptografia reversível no banco de dados. Em ambos os casos, a senha pode ser recuperada por administradores de sistema. Isso impede que a prestação de contas de usuário para suas ações. Se um usuário é pego cometendo uma fraude, ele sempre pode dizer que não foi ele, mas um dos administradores que também conhece sua senha. Além da possibilidade de um ataque pelo administrador do sistema, usando senhas recuperadas no banco de dados, e há também o risco de interceptação e quebra de confidencialidade da senha por terceiros.

A função de recuperação de senha deve sempre gerar uma senha temporária ou um token de ativação que o usuário usa para definir a sua nova senha. O nível de segurança da senha temporária ou do token deve ser, pelo menos, semelhante à da senha e o usuário deve obrigados a troca a senha no próximo login. O token ou senha temporária deve ser gerado aleatoriamente pelo sistema e deve ter validade limitada. O modo de transmissão deste token para o usuário é geralmente por e-mail.