複数の接続されたソーシャルアカウントまたはログイン/承認方法を有効にする場合の適切なセキュリティ対策は何ですか?
今日、フレームワークやソーシャルサイトでは、Webサイトを作成するときに複数の認証オプションを有効にすることが一般的です。たとえば、ユーザーがGitHub、Twitter、Facebookなどでログインできるようにします。さらに、モバイル検証コードを使用したID検証も一般的になりつつあります。
これらの機能を有効にすると、適切に処理されない場合、セキュリティリスクが高まるようです。たとえば、パスワードを変更する場合(ユーザーは現在ログインまたは認証されている場合でも、過去のパスワードを入力するか、電子メールでパスワードをリセットするように求められます)。ただし、接続されたアカウント/ログインを追加する前に、同様の方法でID検証が実施されない場合があります。
適切な予防措置に従って、追加の認証/ログインオプションを追加または変更するための推奨される戦略またはベストプラクティスは何ですか?
アプリケーションでサードパーティのアカウント認証を有効にするのは、IDと認証の委任からサードパーティであるため、-を選択することに注意してください。 信頼。
たとえば、ユーザーがサードパーティのアカウントを使用してアプリケーションにログインすることを選択した場合、ユーザーがパスワードを変更したときにアプリケーションが認識する必要はありません。むしろ、ユーザーが永続的にログインし続けるか、ユーザーがアクセスするたびに(サードパーティのアカウントを使用して)再度ログインするように要求するかは、アプリケーション次第です。