Hey Guys,
I have a question about the password reset in combination with OTP. I have password reset
enabled and OTP reset disabled. I noticed it is possible to to remove a users OTP from his
account if you are able to hijack an email account. On the login page of the user account
page you can click password reset. An email arrives with a link to reset the password.
After resetting the password you are directly logged in to the users account. N No OTP
code needed. There you can simple remove OTP. Is there a way to prevent this from
happening? Have I got some configuration error?
The Keycloak version in use is 2.5.4.Final.
Kind Regards,
Bas Passon
--
First Eight BV
KvK dossiernr: 30.17.95.44
Gemeente Utrecht
Kerkenbos 1059b
6546 BB NIJMEGEN
T: 024-3483570
F: 024-3483571
E: b.passon(a)first8.nl
W:
www.first8.nl
Disclaimer:
Op alle offertes, aanbiedingen of overeenkomsten van First Eight BV zijn, tenzij expliciet
anders overeengekomen, de Algemene Voorwaarden van Conclusion B.V. van toepassing, welke
zijn te vinden op
www.conclusion.nl <
http://www.conclusion.nl/>. Tevens zijn deze
gedeponeerd bij de Kamer van Koophandel Midden-Nederland onder nummer 16059253. Op
schriftelijk verzoek zullen de Algemene Voorwaarden u kosteloos worden toegezonden.
De inhoud van dit e-mailbericht is uitsluitend bestemd voor de geadresseerde(n). Gebruik
van de inhoud daarvan door anderen of verzending aan anderen is zonder toestemming van de
afzender of geadresseerde(n) onrechtmatig. Mocht dit e-mailbericht ten onrechte bij u
terechtgekomen zijn, dan verzoeken wij u onmiddellijk contact met ons op te nemen. First
Eight BV betracht de grootst mogelijke zorgvuldigheid bij het voorkomen van virussen in de
bijlage(n) bij dit bericht. Desondanks dient u zelf de bijlage(n) te controleren op de
aanwezigheid van virussen en kan First Eight BV niet aansprakelijk worden gehouden indien
bijlage(n) schade, waaronder schade aan computer(systeem), veroorzaken.