El correo electrónico de notificación de contraseña o el correo electrónico de recuperación de contraseña es una técnica de recuperación de contraseña común que utilizan los sitios web . Si un usuario olvida su contraseña , se envía un correo electrónico de recuperación de contraseña que contiene suficiente información para que el usuario pueda acceder a su cuenta nuevamente. Este método de recuperación de contraseña se basa en el supuesto de que solo el propietario legítimo de la cuenta tiene acceso a la bandeja de entrada de esa dirección de correo electrónico en particular.
El proceso suele iniciarse cuando el usuario hace clic en un enlace de contraseña olvidada en el sitio web y, tras introducir su nombre de usuario o dirección de correo electrónico, se envía automáticamente a la bandeja de entrada del titular de la cuenta un correo electrónico con una notificación de contraseña. Este correo electrónico puede contener una contraseña temporal o una URL que se puede seguir para introducir una nueva contraseña para esa cuenta. La nueva contraseña o la URL suelen contener una cadena de texto generada aleatoriamente que solo se puede obtener leyendo ese correo electrónico en particular. [1]
Otro método utilizado es enviar la contraseña original completa o parcialmente en el correo electrónico. Enviar solo algunos caracteres de la contraseña puede ayudar al usuario a recordar su contraseña original sin tener que revelarle la contraseña completa.
El problema principal es que el contenido del correo electrónico de notificación de contraseña puede ser descubierto fácilmente por cualquier persona con acceso a la bandeja de entrada del propietario de la cuenta. [2] Esto podría ser el resultado de espiar por encima del hombro o si la bandeja de entrada en sí no está protegida con contraseña. El contenido podría entonces usarse para comprometer la seguridad de la cuenta. Por lo tanto, el usuario tendría la responsabilidad de eliminar de forma segura el correo electrónico o asegurarse de que su contenido no se revele a nadie más. Una solución parcial a este problema es hacer que los enlaces incluidos en el correo electrónico caduquen después de un período de tiempo, lo que hace que el correo electrónico sea inútil si no se usa rápidamente después de su envío.
Cualquier método que envíe parte de la contraseña original significa que la contraseña se almacena en texto sin formato y deja la contraseña abierta a un ataque de piratas informáticos. [3] Es por eso que es típico que los sitios más nuevos creen una nueva contraseña y generen un token. Si el sitio es pirateado, la contraseña contenida en ella podría usarse para acceder a otras cuentas utilizadas por el usuario, si ese usuario hubiera elegido usar la misma contraseña para dos o más cuentas. Además, los correos electrónicos a menudo no son seguros . A menos que un correo electrónico haya sido cifrado antes de ser enviado, su contenido podría ser leído por cualquiera que escuche a escondidas el correo electrónico.