
03/06/2013, 09:01
|
 | Colaborador | | Fecha de Ingreso: julio-2008 Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 16 años, 7 meses Puntos: 1532 | |
Respuesta: Recuperar contraseña - Get -> Email y Codigo por eso para pedir dicha generación de recuperación de clave se le pide al usuario que coloque o su nombre de usuario, o correo, si uno de ellos no existe, no se genera ningún código aleatorio.
claro, si un atacante descubre uno de dos, y se logra generar el código el cual llega al correo pero el atacante obviamente no tiene, es donde espesará a invadir la url aplicando hashes aleatorios, la idea es invalidar el primer intento de un hash que no coincida con un mail; así reduces de un tajo la probabilidad de que al n intento logre conseguir el hash correcto, para ese entonces se invalida la regeneración de contraseña.
y concuerdo con @enlinea777, mientras más complejo sea el hash, más difícil vulnerarlo.
__________________ ¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra... |