Каков наилучший способ для сброса пароля пользователя, когда пароль хешируется:Лучший способ поиска утерянных пароль
Создать уникальный хэш-ссылку для сброса пароля, который действителен в течение часа и отправки этой ссылки по почте
Это метод, который я предпочитаю. Это позволяет вам только сбросить пароль, если и только если пользователь посещает ссылку. Таким образом, если кто-то злонамеренно пытается сбросить пароли, пользователь может просто удалить письмо и не пострадать (не нужно вводить новый пароль).
Кроме того, вы должны дать ссылку на сброс своего рода более длинную дату истечения срока действия (например, от 12 до 24 часов).
2 - лучший способ. Никогда не отправляйте пароль в простой форме. Еще лучше, не держите его в своей системе таким образом. Всегда его хэшируйте и соленые.
Последующие комментарии: электронная почта с использованием хэшей вместо простых паролей также может быть небезопасной, но вы преследуете другую цель через это. Многие люди используют один и тот же пароль для всех сайтов, от Facebook до онлайн-банкинга. Конкретный хеш может скомпрометироваться, но не сам пароль, а именно.
# 2 предпочтительнее # 1, если только потому, что отправка пароля в виде простого текста по электронной почте предоставляет его без необходимости.
Другие варианты:
Я не хочу, чтобы мой пароль был доступен, отвечая на несколько вопросов. Хакер Сары Пэйлин доказал, что это плохая идея. –
Первый другой вариант - ужасный. По крайней мере, я часто забываю вопросы/ответы гораздо чаще, чем мои пароли, и эти вопросы представляют серьезную угрозу безопасности. Я прибегал к простому вставке/dev/random в те сайты, которые заставляют меня вводить вопрос/ответ. – Joey
@Nico Burns: Вы неправильно поняли, какие вопросы подсказывают пароль. Они не раскрывают хешированный пароль. Это, конечно, невозможно. Вместо этого они помогают заполнять пользовательскую память о том, какой пароль они выбрали. Сказав это, вопросы подсказки пароля, по общему признанию, не являются отличным вариантом. Я перечислил его в ответе, потому что ОП, похоже, смотрел на разные альтернативы. – Asaph
Это зависит от чувствительности информации защищаемого ...
Существует тонкий баланс между безопасностью и удобством использования, и вы должны решить, где он находится, и какие активы вы защищаете.
Что бы я обычно делал (предполагая, что финансовые данные участвуют) - это вариант 2, минус ограничение на 1 час.
Я нашел действительно интересный метод на некоторых сайтах: они отправляют вам новый пароль с помощью SMS. Это потрясающе, потому что электронная почта может быть взломана, но телефон ... Я не думаю, что можно легко взломать.
Один час немного короткий. У меня есть серверные почтовые серверы, занимающие несколько часов для доставки писем (в частности, у нашего Uni есть: /) – Joey
Отправка хеш-ссылки в простой форме не более безопасна. Вы не можете избавиться от неполадок при сбросе пароля, если вы не хотите, чтобы это действительно было неудобно для пользователя. –
Я не верю, что он подразумевал, что он будет хранить сгенерированные пароли в виде обычного текста. –