亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

忘記密碼:實現忘記密碼功能的最佳方法是什么?

忘記密碼:實現忘記密碼功能的最佳方法是什么?

海綿寶寶撒 2019-12-25 14:56:06
我想知道在網站上創建忘記密碼功能的最佳方法是什么。我已經看到了很多,這里是其中的一些或組合:密碼問題/答案(1個或更多)使用新密碼發送電子郵件在屏幕上輸入新密碼通過電子郵件確認:必須單擊鏈接以獲取新密碼要求用戶輸入新密碼的頁面您將為忘記密碼功能添加什么組合或其他步驟?我想知道他們如何請求新密碼以及最終如何獲得密碼。我正在根據無法獲取密碼的原則進行操作;必須提供/生成一個新密碼。編輯我喜歡科里所說的關于不顯示用戶名是否存在的說法,但是我想知道顯示什么。我在想問題的一半是用戶忘記了他們使用的電子郵件地址,該電子郵件地址顯示某種“不存在”消息很有用。有什么辦法嗎?
查看完整描述

3 回答

?
幕布斯7119047

TA貢獻1794條經驗 獲得超8個贊

  1. 我個人會發送一封包含指向短期頁面鏈接的電子郵件,讓他們設置新密碼。使頁面名稱成為某種UID。

  2. 如果那樣對您不利,那么向他們發送一個新密碼并強迫他們在首次訪問時進行更改也可以。

選項1容易得多。


查看完整回答
反對 回復 2019-12-25
?
一只斗牛犬

TA貢獻1784條經驗 獲得超2個贊

一些重要的安全問題:

  • 密碼短語問題/答案實際上降低了安全性,因為它通常成為流程中最薄弱的環節。通常,猜測某人的答案比輸入密碼要容易得多-特別是如果問題沒有經過仔細選擇。

  • 假設電子郵件在您的系統中充當用戶名(出于各種原因,通常建議使用該用戶名),則對密碼重置請求的響應不應指示是否找到了有效的帳戶。它僅應說明已將密碼請求電子郵件發送到提供的地址。為什么?表示電子郵件不存在/不存在的響應允許黑客通過提交多個密碼請求(通常通過burp套件之類的HTTP代理)并記錄是否找到電子郵件來收集用戶帳戶列表。為了防止登錄收獲,您必須確保沒有與登錄/身份驗證相關的功能提供任何指示,以指示何時在登錄/密碼重置表單上輸入了有效的用戶電子郵件。

有關更多背景信息,請查閱《Web應用程序黑客手冊》。這是有關創建安全身份驗證模型的絕佳讀物。

編輯:關于您編輯中的問題-我建議:

“密碼請求電子郵件已發送到您提供的地址。如果沒有很快收到電子郵件,請檢查您的垃圾郵件文件夾。如果沒有收到電子郵件,則您提供的電子郵件不存在任何帳戶?!?/p>

在易用性和安全性之間需要進行權衡。您必須根據上下文進行權衡-安全對您和您的用戶是否足夠重要,以證明給您帶來不便?


查看完整回答
反對 回復 2019-12-25
?
繁花如伊

TA貢獻2012條經驗 獲得超12個贊

使用新密碼發送電子郵件。

到達時強制更改密碼,然后輸入新密碼。

這樣可以確保需要密碼的人是唯一進入該帳戶的人。

如果嗅探到電子郵件,則可以(當然)有人進入該帳戶,但是真正的參與者會立即發現此消息(因為您剛發送給他們的密碼不起作用)。

還將密碼更改的確認發送給用戶。

如果有人得到了新密碼,然后收到一封電子郵件,寫著“謝謝您更改密碼”,那么他們會很困惑,如果不這樣做,他們將與管理員交談。


查看完整回答
反對 回復 2019-12-25
  • 3 回答
  • 0 關注
  • 637 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號