Política de Seguridad de la contraseña
La política de contraseña por default es la siguiente:
- Mínimo de ocho caracteres
- Contener tanto caracteres numéricos, alfabéticos (al menos una mayúscula) y caracteres especiales (@#$%"&!)
- Cambie las contraseñas de usuario al menos cada x número de días que consideren apropiado. (RECOMENDACIÓN)
- Vamos a seguir teniendo el aviso que aparece cuando la contraseña es buena o pobre en el perfil del usuario, esto funciona a modo de recomendación general y no se modifica por suscripción.
-
Es decir, el Campus puede decirte que la contraseña es fuerte y rechazartela porque la suscripción tiene configurada otra política de seguridad o puede decirte que es pobre y aceptarla.
- Este es uno de los principales cambios en una de nuestras últimas versiones: cada suscripción podrá configurar sus propios paramentros de seguridad. Nosotros tenemos una por defecto, que esta probada y es segura. Pero en caso de querer modificarla, contactar con nuestro equipo.
-
Ahora el usuario tendrá hasta 6 intentos de loguearse. Si ingresa incorrectamente la contraseña (o usuario) deberá esperar 30 minutos para volverlo a intentar. Esta misma política la configuramos para el recupero de contraseña.
Recupero de contraseña
Si lo que querés es recuperar tu contraseña poniendo tu mail, ahora no te dice si el usuario existe o no, sino que te da un mensaje de: "Si la dirección de correo/usuario está en nuestra base de datos, le enviaremos un correo para restablecer su contraseña".
Luego te llega a tu casilla de correo electrónico, el siguiente mail:
Apretando ingresar, nos lleva a una página donde efectivamente haremos el cambio de contraseña.
Si el usuario realiza el cambio de manera correcta se lo envía a la home deslogueado para que se loguee con la contraseña nueva. En esta página nueva también evitamos que el usuario pueda cerrar el popup sin cambiar la contraseña, al hacer click sobre la cruz te muestre un mensaje avisando que esta acción no puede ser cancelada. Si el recupero de contraseña se hace vía API, se envía el mail con el password que debería usar y el link de ingresar se envía a la home deslogueado.
Medida para aumentar la seguridad
El Campus regresa mensajes de error genéricos para no dar información sensible de los usuarios y que ninguna persona malintencionada pueda recopilar cuentas de potenciales usuarios y atacar al servidor.
Generalmente las aplicaciones deberían responder con mensajes de error amigables y generales a diferentes solicitudes tanto como un request válido como uno que no lo es, por ejemplo:
- Solicitud del cliente: Usuario válido /contraseña incorrecta
- Respuesta del servidor: La contraseña es incorrecta
- Solicitud del cliente: Usuario incorrecto / contraseña incorrecta
Pero estas respuestas permiten al usuario final saber la causa del inicio de sesión fallido, pero esto puede ser aprovechado por usuarios malintencionados para obtener cuentas válidas que podrían utilizar en futuros ataques.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.