Вот сценарий:Как долго должен быть установлен хеш для сброса пароля?
Хакер захватывает учетную запись пользователя на моем сайте. Хакер меняет пароль. Мой сайт отправляет электронное письмо на адрес электронной почты пользователя со ссылкой, содержащей URL-адрес с хэш-значением для сброса пароля. Затем хакер меняет адрес электронной почты пользователя на следующий день. Мой сайт затем отправляет электронное письмо на старые и новые адреса электронной почты.
В большинстве ответов здесь сказано, что хеш восстановления должен быть действительным в течение часа. Но что, если пользователь находится вдали от дома и не получает письма до недели спустя после истечения срока хеширования? Пароль пользователя был изменен и не может получить новый адрес электронной почты для восстановления. Пользователь теперь потерял учетную запись и не имеет возможности ее восстановить. Должна ли хеш оставаться в силе в течение недели или двух или пока она не используется?
И что произойдет, если хакер, зная, как работает этот механизм на большинстве сайтов, утверждает, что забыл пароль и запросил новый. Должен ли сайт генерировать новый хеш, заменяя старый, тем самым делая хеш сброса реального пользователя неверным? Или должен ли сайт не изменять хэш, и отправить тот же хэш снова? Но теперь, как у реального пользователя, так и у хакера есть хэш для сброса пароля?
Я оооочень путать ... Может быть, нет идеального решения этой проблемы ...
Любой другой метод? Я лично не люблю «секретные вопросы», потому что чаще всего они предоставляют задний ход, чтобы взломать чей-то аккаунт. Когда сайты требуют от меня, я набираю тарабарщину как ответ.
BTW, я знаю, что есть похожие вопросы, подобные этому, и я предпочел бы просить разъяснений в комментарии к существующему вопросу, а не открывать новый вопрос, но у меня недостаточно высокая репутация, чтобы добавить комментарий к чужому вопросу.
Я уже реализовал что-то вроде captcha (как для регистрации, так и для сброса пароля), но не так раздражает. Я не хотел обманывать проблему, рассказывая о чарчах в моем вопросе. Так что спасибо, но это не проблема на данный момент. Прямо сейчас я больше беспокоюсь о последовательности событий, чтобы предотвратить, что человек-злоумышленник блокирует реального пользователя из своей учетной записи, в то же время не позволяя реальному пользователю потерять возможность восстановить свою учетную запись. – Fredashay