Е-поруке за ресетовање лозинке: Савети за безбедност корисника (и грешке које програмери треба да избегавају)
Е-поруке за ресетовање лозинке су неке од најосетљивијих порука које ћете икада примити. Нападачи их воле јер успешан ресет може директно довести до преузимања налога.
1) Ако нисте тражили ресет, третирајте то као сигнал
- Неко можда покушава да приступи вашем налогу.
- Ваша е-пошта може бити на цурећој листи која се аутоматски тестира.
Ово не значи увек да сте хаковани — али значи да треба да реагујете безбедно.
2) Најбезбеднији начин руковања е-порукама за ресетовање
- Не кликћите одмах на линк.
- Отворите нову картицу и директно идите на званични сајт.
- Пријавите се нормално (ако можете), затим промените лозинку у подешавањима.
- Прегледајте недавне сесије и поништите непознате уређаје.
3) Знакови упозорења у е-порукама за ресетовање
- Чудан домен пошиљаоца или домен који се не поклапа
- Хитне претње („ресетујте у року од 10 минута или изгубите приступ заувек“)
- Скраћени линкови или збуњујућа преусмеравања
- Тражи додатне личне податке ван нормалног процеса
4) Ојачајте налог, не само лозинку
- Користите менаџер лозинки и јединствене лозинке.
- Омогућите паскеј или двофакторску аутентификацију (2FA).
- Укључите „упозорења о пријави“ где је могуће.
5) Грешке програмера које повећавају ризик ресетовања
- Линкови за ресетовање који никада не истичу
- Нема ограничења броја захтева за ресетовање
- Токени за ресетовање који се могу више пута користити
- Не поништавање сесија након ресетовања (где је то прикладно)
6) Да ли корисници треба да се ослањају на привремену е-пошту за ресетовање?
Не за било који налог који вам је важан. Привремени инбоксови су дизајнирани за краткорочно коришћење и могу истећи. Користите провајдера е-поште којим контролишете за опоравак.
7) Где привремени инбоксови помажу (легитимна употреба)
За QA тимове који тестирају шаблоне за ресетовање лозинке у развојном окружењу, привремени инбоксови смањују буку и убрзавају итерације. Генеришите нови тест инбокс: TempMailbox.
