Todas las colecciones
Soy administrador
Campus
General
Seguridad del Campus - Contraseñas
Seguridad del Campus - Contraseñas
Actualizado hace más de una semana

Política de Seguridad de la contraseña

La política de contraseña por default es la siguiente:

  • Mínimo de ocho caracteres

  • Contener tanto caracteres numéricos, alfabéticos (al menos una mayúscula) y caracteres especiales (@#$%"&!)

  • Cambie las contraseñas de usuario al menos cada x número de días que consideren apropiado. (RECOMENDACIÓN)

  • Vamos a seguir teniendo el aviso que aparece cuando la contraseña es buena o pobre en el perfil del usuario, esto funciona a modo de recomendación general y no se modifica por suscripción.

  • Es decir, el Campus puede decirte que la contraseña es fuerte y rechazartela porque la suscripción tiene configurada otra política de seguridad o puede decirte que es pobre y aceptarla.

  • Este es uno de los principales cambios en una de nuestras últimas versiones: cada suscripción podrá configurar sus propios paramentros de seguridad. Nosotros tenemos una por defecto, que esta probada y es segura. Pero en caso de querer modificarla, contactar con nuestro equipo.

  • Ahora el usuario tendrá hasta 6 intentos de loguearse. Si ingresa incorrectamente la contraseña (o usuario) deberá esperar 30 minutos para volverlo a intentar. Esta misma política la configuramos para el recupero de contraseña.

Recupero de contraseña

Si lo que querés es recuperar tu contraseña poniendo tu mail, ahora no te dice si el usuario existe o no, sino que te da un mensaje de: "Si la dirección de correo/usuario está en nuestra base de datos, le enviaremos un correo para restablecer su contraseña".

Luego te llega a tu casilla de correo electrónico, el siguiente mail:

mceclip0.png

Apretando ingresar, nos lleva a una página donde efectivamente haremos el cambio de contraseña.

mceclip1.png

Si el usuario realiza el cambio de manera correcta se lo envía a la home deslogueado para que se loguee con la contraseña nueva. En esta página nueva también evitamos que el usuario pueda cerrar el popup sin cambiar la contraseña, al hacer click sobre la cruz te muestre un mensaje avisando que esta acción no puede ser cancelada. Si el recupero de contraseña se hace vía API, se envía el mail con el password que debería usar y el link de ingresar se envía a la home deslogueado.

Medida para aumentar la seguridad

El Campus regresa mensajes de error genéricos para no dar información sensible de los usuarios y que ninguna persona malintencionada pueda recopilar cuentas de potenciales usuarios y atacar al servidor.

Generalmente las aplicaciones deberían responder con mensajes de error amigables y generales a diferentes solicitudes tanto como un request válido como uno que no lo es, por ejemplo:

  • Solicitud del cliente: Usuario válido /contraseña incorrecta

  • Respuesta del servidor: La contraseña es incorrecta

  • Solicitud del cliente: Usuario incorrecto / contraseña incorrecta

Pero estas respuestas permiten al usuario final saber la causa del inicio de sesión fallido, pero esto puede ser aprovechado por usuarios malintencionados para obtener cuentas válidas que podrían utilizar en futuros ataques.

Artículos relacionados
¿Cómo configurar tu Campus?
Configuración OAuth2 ADFS - Integración con Wormhole Campus
Iniciar sesión a través de Google o Facebook
¿Por qué un usuario no recibe los mails provenientes del campus?
Notificaciones automáticas del Campus
¿Ha quedado contestada tu pregunta?