在用户已经登录时更改密码的最佳实践

Question

在用户已经登录时更改密码的最佳实践是什么？在更改密码的应用程序中，已经登录的用户必须传递当前密码和新密码。没有电子邮件确认墓地。

测试人员建议，密码更改只能通过发送带有更改密码链接的电子邮件来完成，这真的有必要吗？我没有在OWASP备忘单或ASVS中找到这个建议。我同意第二因素确认总是一个更安全的解决方案，比如使用SMS代码验证/电子邮件代码验证，但是它是一个标准的解决方案还是一个附加的安全功能？

Answer 1

不，这本身是不必要的。许多站点都按照您正在实现的方式来实现它，尽管按照建议的方式也没有坏处。

但是，在执行密码更改之类的操作时，发送电子邮件确认至少是一个好主意。

Answer 2

相关的ASVS要求为3.7.1：

在允许任何敏感事务或帐户修改之前，验证应用程序需要重新身份验证或次要因素验证。

询问旧密码是重新认证，而电子邮件可能是次要因素。但根据这一要求，这两种方法都是可以接受的。

要求2.1.6还需要重新认证：

验证密码更改功能是否需要用户当前和新的密码。