من در مورد بهترین تمرین در سناریوی داده شده سوالی دارم.
بیایید بگوییم که یک برنامه وب امکان ثبت کاربر را به طور عادی با ایمیل و رمز عبور به عنوان اعتبار دارد. همچنین دارای گزینه ورود به سیستم (ورود به سیستم) است.
اکنون OWASP توصیه می کند که تحت تنظیمات حساب ، مواردی مانند تغییر گذرواژه ، نام ، آدرس یا کارتهای اعتباری باید رمز ورود اضافی را لازم داشته باشد ، حتی اگر کاربر قبلاً وارد سیستم شده باشد.
اکنون این همه کاربری برای کاربرانی که از طریق ایمیل ثبت نام کرده اند و می گذرند خوب است ، اما آنچه در ارتباط با شبکه های اجتماعی است. آنچه باید از این نوع کاربران درخواست شود تا علاوه بر تأیید اعتبار خود هنگام تغییر داده ، خود را تأیید کنند. آنها رمز عبوری ندارند ، بنابراین بهترین راه حل در این مورد است.
با تشکر
