Когда я был в ВВС, у нас было правило безопасности: при настройке или сбросе паролей не отправляйте идентификатор пользователя и пароль в том же письме. Таким образом, если кто-то перехватывает электронные письма, отслеживающие пароли, он должен успешно перехватывать BOTH-письма и иметь возможность подключаться к ним, чтобы нарушить безопасность.
Я видел много сайтов, которые используют «перейдите по этому URL для сброса пароля».Может быть, я что-то пропустил - я не утверждаю, что я эксперт по безопасности, но я не понимаю, как это безопаснее, чем просто изобретать новый временный пароль и отправлять его. Если хакер перехватывает электронное письмо, почему он не может перейти к этой ссылке и не видит новый пароль, а также законный пользователь? Мне кажется, что это лишний хлопот для пользователя без усиления безопасности.
Кстати, поздравляю с НЕ использованием вопросов безопасности. Логика этого устройства ускользает от меня. С самого начала компьютерной безопасности мы говорили людям: «НЕ делайте пароль, который является информацией о себе, которую хакер может обнаружить или угадать, например, имя вашей средней школы или ваш любимый цвет. Возможно, хакер чтобы узнать имя своей средней школы, или даже если они не знают вас или ничего не знают о вас, если вы все еще живете рядом с тем, куда вы ходили в школу, они могли бы получить его, пытаясь найти местные школы, пока они не ударят. небольшое количество вероятных любимых цветов, чтобы хакер мог догадаться об этом. И т. д. Вместо этого пароль должен быть бессмысленной комбинацией букв, цифр и знаков препинания ». Но теперь мы также говорим им: «Но! Если у вас есть трудное время, помня о том, что бессмысленное сочетание букв, цифр и знаков препинания, не проблема! Возьмите некоторую информацию о себе, которую вы легко можете вспомнить, - например, название вашей средней школы , или ваш любимый цвет - и вы можете использовать это как ответ на «вопрос безопасности», то есть как альтернативный пароль ».
Действительно, вопросы безопасности делают его еще проще для хакера, чем если вы только что выбрали неверный пароль для начала. По крайней мере, если вы просто использовали личную информацию для своего пароля, хакер не обязательно знал бы, какую часть личной информации вы использовали. Вы использовали имя своей собаки? Дата рождения? Ваш любимый аромат мороженого? Он должен попробовать всех. Но с вопросами безопасности мы говорим хакеру точно, какую часть личной информации вы использовали в качестве пароля!
Вместо того, чтобы использовать вопросы безопасности, почему бы нам просто не сказать: «Если вы забыли свой пароль, он отображается в нижней части экрана. Если вы пытаетесь взломать чужую учетную запись, вы абсолютно запрещено прокручивать ». Это было бы чуть менее безопасно.
Чтобы вас не интересовало, когда сайты спрашивают меня о городе, где я родился, или о производителе моей первой машины, я не даю ответа на вопрос. Я даю бессмысленный пароль.
</декламация>
возможно дубликат HTTP: // StackOverflow.com/вопросы/910856/эффективные методы для поиска паролей в современных веб-приложениях –
ps. Когда пользователь приходит на страницу сброса пароля с правом токеном, продолжайте использовать этот токен (или другой временный токен), чтобы обновить правильную запись в форме submit с новым паролем. Если вместо этого вы используете что-то вроде идентификатора записи (после того, как нашли нужную запись), люди могут сбросить пароль друг друга, используя это вместо токена. Я только что узнал, когда писал один из них :-) – MSpreij
Проверить аналогичный вопрос on IT Security (StackExchange) http://security.stackexchange.com/questions/1918/can-anyone-provide-references-for-implementing-web-application-self-password-res –