通过链接重新设置密码后登录用户

Question

假设密码重置功能流如下：

1. 用户提交用于其帐户的电子邮件地址。
2. 一封电子邮件被发送到该电子邮件地址，带有一个带有密码重置哈希的链接。
3. 单击后，用户可以重置密码。

在密码重置完成后，我看到网站将用户重定向到登录页面。密码重置完成后自动登录用户是否存在安全风险？

Answer 1

没什么区别。如果黑客找到了链接，那么他就可以重新设置密码并再次登录。这对他没什么关系，他不能再滥用这个特征了。

只有当您使用某种形式的多因素认证时，才有理由这样做。当然，在这种情况下，您也会期望在重置工作流中包含多个因素位。

Answer 2

从安全的角度来看，“密码重置”是否自动登录是相当中立的。这两种行为本质上都不是比另一种行为更安全。我认为大多数站点都是在服务器端执行最简单的操作。

需要考虑的一点是，只要每个人都合作，就能实现安全；特别是，最小惊奇原则是最重要的。这一原则适用于安全性，意味着当事情不像人类用户所期望的那样发生时，麻烦就在发生。在这种情况下，人类用户可能会在重置后登录，也可能不会。让我们看看如果用户感到“惊讶”会发生什么：

• 如果用户希望登录，但没有登录，那么他可能会对再次输入密码的必要性感到不快。然而，后果仅限于此。值得注意的是，必须第三次输入密码的要求不会导致用户选择较弱但更容易输入密码，因为根据定义，当他选择密码时，他并不知道这第三个条目。
• 如果用户不希望在重新设置密码之后登录，并且仍然是登录的，那么该用户可能根本没有注意到他已经登录，并且仍然是这样。这与开放会话的用户控制相矛盾(这是为什么大多数站点都有一个突出的“注销”按钮)。

从这个意义上说，可以提出(相当弱的)理由来反对用户自动登录密码重置:未被注意到的登录的安全后果可能比意外缺乏自动登录的后果更糟糕。

Answer 3

每当您编写代码时，您都必须自以为是：“攻击者如何滥用此功能？”没有这个内部对话框是非常危险的，因为程序员可能会暴露危险的功能。如果不充分理解攻击者的观点，就会发现根本不可能存在的漏洞。

所以在这种情况下：

攻击者在重置了受害者帐户的密码后，如何才能从自动登录中获益。在这种情况下，损害显然已经发生，自动登录用户是您最不关心的问题。