"Забули пароль" - Як це впоратися?

18

Я прочитав цю відповідь і знайшов коментар із наполяганням не надсилати пароль електронною поштою:

паролі не повинні бути отримані електронною поштою, я ненавиджу це. Це означає, що мій пароль десь зберігається у простому тексті. його слід скидати лише.

Це викликає у мене питання щодо використання параметра Забутий пароль?

При будь-якій ціні необроблений пароль повинен відображатися в будь-якому інтерфейсі користувача, щоб користувач міг його прочитати. То який би спосіб обробляти "Забули пароль"

— Гопі
джерело

Я щойно витратив 15 хвилин на пояснення функції забутого пароля PHPBB.

— Пітер Тернер

Можливий дублікат процесу скидання пароля

— gnat

1

@gnat У вас був шанс перевірити, хто з них найстаріший?

— Гопі

1

@TechJerk вік питань не має значення, як пояснено тут

— gnat

35

Хороший дизайн програми не зможе явно відновити пароль користувачів. Це тому, що він зазвичай зберігається після його запуску через якийсь хеш, який є односторонньою операцією.

Найкращий спосіб обробки втраченого пароля - це скидання, надіслати електронною поштою до облікового запису користувачів посилання з генерованим параметром, позначеним на цьому, що ідентифікує це як дійсне скидання пароля для відповідного облікового запису. У цей момент вони можуть встановити новий пароль.

Це передбачає, що у вас є адреса електронної пошти користувачів.

— Кріс
джерело

Існують додаткові "найкращі практики", які, хоча не є критичними (як, наприклад, не зберігання паролів в першу чергу), повинні бути застосовані, якщо дозволяє час, в тому числі, тимчасовий маркер доступу закінчується на певні події та з часом (щоб чийсь обліковий запис не є компрометованим, якщо його вхідні).

— Стівен

7

Ви не повинні зберігати основний пароль користувачів як простий текст, але ви МОЖЕТЕ зберігати тимчасовий пароль як простий текст, тобто

користувач скидає пароль -> створюється тимчасовий пароль -> тимчасовий пароль надсилається електронною поштою -> користувач змушений змінити пароль при наступному вході (новий пароль не може бути тимчасовим паролем)

— Viper_Sb
джерело

2

Я робив це на кількох сайтах. Хоча ви можете стверджувати, що поштовий снупер може отримати пароль, вони також можуть отримати будь-який інший тимчасовий маркер тощо, який ви надішлете електронною поштою. Цей підхід для користувача простіший (вони можуть копіювати та вставляти або навіть вводити тимчасовий пароль) і не сприймає захист.

— Кейт Григорій

Якщо хтось не використовує безпечний спосіб підключення до поштового сервера (тобто веб-пошти через HTTPS або POP3 через TLS), таке спілкування може бути легко принюхано до себе. У такому випадку деякі "haX0r" можуть легко увійти в акаунт іншого користувача. Ось чому це погана ідея. Посилання для скидання має бути надіслано, як пропонує Кріс, і супровід безпеки повинен бути поставлений перед тим, як фактично дозволити користувачеві змінити свій пароль. Все ще не на 100% безпечно (як багато разів відповіді на такі питання безпеки можна було легко здогадатися), але я не бачу кращого рішення.

— Paweł Dyda

2

@Pawel Dyda Посилання для скидання також може бути нюхано, якщо ваш електронний лист нюхається, я думаю, що тимчасовий пароль у вашому електронному листі - це найменше ваших турбот.

— Viper_Sb

Тому я писав про питання безпеки.

— Paweł Dyda

5

Коментар проти відправки оригінального пароля електронною поштою, а також нічого не надсилати електронною поштою. Якщо установа може надіслати оригінальний пароль, це означає, що він має його, і це проблема безпеки. Коментолог не сперечався проти надсилання пароля електронною поштою, оскільки це вкрай необхідно в більшості випадків.

Правильний спосіб - призначити новий пароль, який можна використовувати один раз, з будь-якої причини. Можливо, система вже позначила термін дії, можливо, він просто входить на сторінку, щоб змінити пароль, який динамічно генерується один раз і лише один раз, незалежно від того.

— Девід Торнлі
джерело

4

Найбільше мені подобається, щоб програма надсилала електронному листу користувачеві електронну адресу на зареєстровану електронну адресу з одноразовим посиланням, дійсним протягом X годин, що забезпечує сторінку "Змінити пароль".

Потім користувач може встановити пароль таким, яким він подобається, не ризикуючи вказати його в електронній пошті.

4

У мого постачальника кредитних карток є "забутий пароль", який задає вам деякі питання безпеки (це не дуже безпечно саме по собі, але багато банків це роблять), а потім генерує новий код і дає вам половину на екрані та надсилає електронну пошту другу половину ти. Таким чином, ви не можете зламати обліковий запис без доступу до веб-сторінки та електронної адреси.

Я трохи запитав про це з точки зору зручності використання .

— гленатрон
джерело