在密码重置电子邮件中发送用户名是否有风险？

Question

我们使用的CMS有一个密码重置功能，根据最佳实践开箱即用。

• 密码存储为盐渍散列。
• 忘记密码的工作方式如下：
  • 用户在文本框中输入用户名或电子邮件地址。
  • 系统生成带有“重置密码”链接的电子邮件。
  • 用户有x分钟的时间来跟踪链接并重置密码，否则就会被禁用。

(附带说明，我们希望添加双因素身份验证，而开发这种CMS的公司正在努力提供这种认证，但到目前为止还没有。)

或者，我们可以在电子邮件中包含用户名，以防用户忘记他们的用户名。

在密码重置电子邮件中包含用户名是否会增加安全风险？

显然，这是攻击者掌握的另一条信息，但说实话，如果攻击者能够拦截这封电子邮件，他们就可以按第一个链接以用户身份登录，所以我不认为会增加风险。我有遗漏什么吗？

Answer 1

不，这种方法绝对不存在安全风险。

用户名是公共信息，应该被视为公共信息。

编辑

@多项式指出了我遗漏的一个关键事实。如果用户名是一些敏感信息，比如SS号码，我的建议就不适用了。

Answer 2

这并不是一个重大的安全风险，虽然它确实略微增加了攻击表面。允许使用它的可用性可能大大超过了微小的风险。

但是，值得注意的是，如果攻击者能够以某种方式拦截大量重置电子邮件，他们将获得两件事：

• 攻击者可以构建一个有效用户名列表，以便更好地针对站点上的暴力攻击或生日攻击。
• 攻击者可以使用您发送电子邮件给用户的重置令牌，或临时密码或其他任何东西。

第二个问题只会增加风险，如果用户在登录时需要提供他们的用户名，而且不管怎么说，用户名通常是可以从电子邮件地址猜测的。

另外，在攻击者能够窥探到您发出的电子邮件之前，这两个问题都不是问题，这可能本身就是一个问题。但是，SSL/TLS传递可以帮助防止这种情况发生。