La checklist Opquast de la calidad del digital - Regla n° 26

Regla n° 26 - No se muestra ninguna información sobre la existencia de una cuenta de usuario.

Muchos sitios web utilizan identificadores personales para iniciar sesión. Estos pueden ser seudónimos, nombres y, con mayor frecuencia, direcciones de correo electrónico. Las personas malintencionadas pueden intentar conectarse con ciertos identificadores predecibles y aprovechar la respuesta del sitio web para determinar la existencia de una cuenta. Una vez verificada la existencia de una cuenta, es posible intentar conectarse con diferentes contraseñas o mediante un ataque de fuerza bruta. Para evitarlo, el sitio web debe evitar revelar que un identificador está asociado a una cuenta.

#Concepción #Datos personales #Desarrollo #Privacidad
Anterior Siguiente

Objetivo

  • Prevenir los intentos de usurpación de cuentas o identidades.
  • Mejorar la seguridad de los usuarios y usuarias.

Solution technique

En respuesta a un intento de creación de cuenta, de conexión (o una serie de intentos) o a una solicitud de reenvío de la contraseña, no mostrar mensajes del tipo:
  • «Este correo electrónico ya está en uso»
  • «Contraseña incorrecta»
  • «Siga el procedimiento de restablecimiento de contraseña enviado por correo electrónico»
  • «Cuenta bloqueada»
Dé prioridad a mensajes del tipo:
  • «Si ya tiene una cuenta, utilice la recuperación de contraseña».
  • «Datos de inicio de sesión incorrectos. Compruebe su dirección y contraseña».
  • «Si existe una cuenta para esta dirección, se ha enviado un correo electrónico de restablecimiento».
  • «No se puede iniciar sesión. Vuelva a intentarlo más tarde o utilice la función de recuperación de contraseña».

    • Moyen de contrôle

    Comprueba que no se facilite ninguna información sobre la existencia de una cuenta de usuario al intentar crear una cuenta, iniciar sesión o recuperar la contraseña.