您是否可以在不先验证电子邮件地址的情况下重设密码?

信息安全 密码
2021-09-13 02:50:07

我刚刚注意到 Instagram,你可以做的是:

  1. 从登录的 Instagram 应用程序中,更改您的电子邮件地址。这将向新的电子邮件地址发送一个验证链接。
  2. 验证电子邮件地址需要您在单击链接时登录。
  3. 从任何登录屏幕(桌面浏览器或智能手机应用程序),您可以在验证电子邮件地址之前要求使用新电子邮件地址重置密码。
  4. 这将向新电子邮件地址发送一个重置链接,您可以使用该链接重置密码,然后验证新地址。

因此,这要求您已经可以访问登录 instagram 帐户的人(例如,如果他们将手机放在周围)。

这是一个严重的安全问题,还是您认为访问某人的电话已经构成安全漏洞?

更多详细信息:https ://thingsdavidhaslost.wordpress.com/2015/06/01/access-to-his-instagram-account/

1个回答

在登录服务时保留对手机的访问权限无疑是一种安全漏洞,但我在这里也看到了 Instagram 部分的一些错误:

  1. 修改与帐户关联的电子邮件地址时不要求输入密码
  2. 将新电子邮件地址的验证发送到新电子邮件地址,而不是旧电子邮件地址(或旧地址和新地址)

第 1 点应在任何具有最低安全意识的环境中实施。如果未实施,第 2 点可用于缓解此类攻击。

其它你可能感兴趣的问题
上一篇使用 OpenSSL 使用密钥 (.pem) 解密 .P7M 文件 下一篇CertiVox M-PIN 的安全性如何?