Nehmen wir an, ein Angreifer hat Ihr Passwort. Sie melden sich an und setzen es zurück. Wenn das Zurücksetzen nicht alle vorhandenen Sitzungen ungültig macht, hat der Angreifer weiterhin Zugriff, solange er seine Sitzung nicht ablaufen lässt.

Das Zurücksetzen hat in diesem Szenario tatsächlich nichts erreicht.

Je nachdem, was die Site tut, kann es auch Probleme geben, wenn Sie sich unter einem Kennwort angemeldet haben, das jetzt veraltet ist. Nehmen wir an, Ihr Passwort wird verwendet, um etwas zu entsperren. Sie sind mit "Passwort1" angemeldet, aber auf dem Server ist Ihr Passwort jetzt als "Passwort2" gespeichert. Was passiert? Dies ist offensichtlich hypothetisch, veranschaulicht aber hoffentlich den Punkt.

Das Umleiten zum Anmeldebildschirm ist wohl nur eine Empfehlung. Ich bin mir nicht sicher, warum es wichtig ist, wohin Sie den Benutzer senden, aber aus Sicht der Benutzerfreundlichkeit ist es sinnvoller, den Benutzer auf eine Anmeldeseite anstatt auf die Startseite zu senden.

Schutz von Sitzungen auf einem möglicherweise gefährdeten Konto

Es ist nicht erforderlich, tatsächlich zur Anmeldeseite umzuleiten, wenn die Sitzungsverwaltung bei Kennwortänderung sicher durchgeführt wird. Das heißt, solange alle aktuellen Sitzungskennungen ungültig sind und die aktuelle Sitzung an eine neue Sitzungskennung angehängt wird (normalerweise als Token in einem Authentifizierungscookie ausgegeben - das Cookie wird nur an die Sitzung gesendet, die gerade das Kennwort geändert hat) Es besteht kein Risiko, dass ein Angreifer, der sich bereits im Konto befindet, angemeldet bleibt.

OWASP-Artikel

Die Gründe für den OWASP-Artikel werden nachfolgend erläutert. An dem Sicherheitsaspekt ist nichts auszusetzen, es gibt jedoch einige Usability-Probleme.

Die Funktion zum Zurücksetzen von Passwörtern wird häufig verwendet, wenn ein Benutzer sein Konto sichern möchte.

Durch Ungültigmachen aller Beim Zurücksetzen des Kennworts stellt das System sicher, dass sich nur die Person mit dem neuen Kennwort anmelden kann.

Angenommen, ein Angreifer, der mit dem alten Kennwort Zugriff auf das Konto erhalten hat, ist angemeldet Durch das Zurücksetzen aller Sitzungen wird der Angreifer abgemeldet.

Warum den aktuellen Benutzer abmelden, höre ich Sie fragen?

Sagen Sie, dass der Angreifer beispielsweise auf der Sitzung des aktuellen Benutzers reitet Verwenden einer Sitzungsfixierung Sicherheitsanfälligkeit. Dies bedeutet, dass der Angreifer dieselbe Sitzung hat wie der echte Benutzer. Durch das Zurücksetzen der aktuellen Sitzung wird auch sichergestellt, dass sich niemand in dem Konto befindet, der keinen Zugriff haben soll.

Wenn Sie auf die Anmeldeseite in Ihrem obigen Zitat umleiten, wird die Tatsache beschrieben, dass Sie den Benutzer abmelden sollten der aktuellen und aller Sitzungen (es besteht jedoch kein Risiko, dass Sie sie nicht in eine neue Sitzung mit einer neuen Kennung verschieben).

Die anderen Antworten sind aus netsec-Sicht wahrscheinlich korrekter, aber ich wollte hinzufügen, dass Sie auch sicherstellen müssen, dass sich der Benutzer tatsächlich mit seinem neuen Passwort anmelden kann. Dies macht deutlich, wenn etwas schief geht, beispielsweise wenn der Browser ein altes Passwort automatisch ausfüllt.

Außerdem wird verhindert, dass Benutzer das Zurücksetzen des Kennworts als Anmeldung verwenden. In einem meiner Konten ist es einfacher, die Sicherheitsfragen zu beantworten, als sich das Kennwort zu merken, da ich bei jedem Zurücksetzen ein eindeutiges Kennwort festlegen muss und mich nicht daran erinnern kann.

Es gibt nur einen möglichen sicherheitsrelevanten Grund, Sie zur Anmeldeseite zu senden, da alle alten Sitzungen ungültig gemacht werden können und Ihre aktuell aktive Sitzung das Passwort automatisch ersetzt hat:
Dadurch wird die Verwendung des Zurücksetzens des Kennworts für die Anmeldung umständlicher, was dazu führt, dass Sie es seltener verwenden und es somit vor Abhören und versehentlicher Offenlegung sicherer machen.

Es gibt auch einen Usability-Grund zum Senden dorthin: Damit wird sichergestellt, dass Sie das neue Kennwort tatsächlich verwenden können, und der Kennwort-Cache im Browser wird aktualisiert.

Wenn Benutzer zulassen dürfen, dass der Browser ihre Kennwörter speichert, kann der Browser durch Umleiten des Benutzers auf die Anmeldeseite das neue Kennwort auf dieser Seite erfassen. Andernfalls füllt das nächste Mal, wenn sich der Benutzer im Browser anmeldet, das Kennwortfeld "hilfreich" mit dem alten Kennwort vor - eine Aktion, die wahrscheinlich Verwirrung stiftet, wenn der Benutzer nicht merkt, was los ist.

Es ist sehr einfach, wenn wir die Sicherheitsmaßnahmen im Auge behalten. Es macht tatsächlich alle Ihre aktiven Sitzungen sowie das Gerät des Diebstahlers ungültig, der die Probleme verursacht hat.

Neben der einfachen Bereitstellung eines einfachen Mechanismus zum Einrichten einer neuen gültigen Sitzung, zum Überprüfen der Funktionsfähigkeit des neuen Kennworts und zum Abmelden aktueller Sitzungen besteht der zusätzliche Vorteil darin, dass Ihr Benutzer das Kennwort ein drittes Mal eingibt, was die Vereinfachung erleichtert zu erinnern.

Zusätzlich zu vielen anderen hier angesprochenen Punkten bietet es Vorteile, den Mechanismus zur Sitzungserstellung aus Sicht der Wartbarkeit / Härtung / Prüfung auf nur einen Einstiegspunkt zu beschränken.

Ein Benutzer, der sein Kennwort in der zurücksetzt Der gesperrte Status sollte nicht unbedingt als angemeldeter Benutzer behandelt werden, selbst nachdem Sie durch den Wiederherstellungsnachweis für Identitätsrahmen gesprungen sind, den Sie haben. Andernfalls müssen Sie bei Ihren Audits / Pen-Tests eine zusätzliche Sequenz testen.

Wenn Sie sich direkt nach dem Zurücksetzen des Kennworts erneut anmelden

a) Erinnern Sie sich das Kennwort mit größerer Wahrscheinlichkeit 3 ​​Sekunden später als 3 Tage später.

b) Ihr Browser kann den Benutzer dann fragen, ob er sein gespeichertes Passwort mit dem neuen aktualisieren möchte, und der Browser merkt es sich dann auf der Anmeldeseite.