CWE ID: 640
Name: Weak Password Recovery Mechanism for Forgotten Password
Das Produkt beinhaltet einen Mechanismus, der es Benutzern erlaubt, ihre Passwörter wiederherzustellen oder zu ändern, ohne das ursprüngliche Passwort zu kennen. Dieser Mechanismus weist jedoch Schwächen auf.
Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass sämtliche Eingaben des Benutzers, die an den Password Recovery Mechanismus übermittelt werden, gründlich gefiltert und validiert werden.
Effektivität: Unknown
Beschreibung: Vermeiden Sie Standard-Sicherheitsfragen mit geringer Stärke und implementieren Sie stattdessen mehrere Security Questions.
Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass eine Begrenzung (Throttling) für die Anzahl der falschen Antworten auf eine Security Question implementiert ist. Deaktivieren Sie die Passwort-Wiederherstellungsfunktionalität nach einer bestimmten (geringen) Anzahl falscher Versuche.
Effektivität: Unknown
Beschreibung: Verlangen Sie, dass der Benutzer die Security Question korrekt beantwortet, bevor das Passwort zurückgesetzt und das neue Passwort an die hinterlegte E-Mail-Adresse gesendet wird.
Effektivität: Unknown
Beschreibung: Erlauben Sie niemals, dass der Benutzer steuert, an welche E-Mail-Adresse das neue Passwort im Rahmen des Password Recovery Mechanismus gesendet wird.
Effektivität: Unknown
Beschreibung: Weisen Sie ein neues, temporäres Passwort zu, anstatt das ursprüngliche Passwort preiszugeben.
