我公司的一个小组正在为我们的应用程序实施单点登录 REST API。此认证服务具有密码重置功能。应用程序将用户名发送到重置函数。如果该用户名与电子邮件地址相关联,则会向该地址发送一封带有临时密码的电子邮件。
另一种方法似乎是通过电子邮件发送一个安全的临时链接的网站,该链接提供一个页面供用户输入新密码。此页面只存在很短的时间。
我知道电子邮件不是一种安全协议,因此人们可以嗅探流量并恢复临时密码或临时链接。
是否有任何重要的安全原因偏爱一种方法而不是另一种方法?还有其他更安全的方法吗?
【问题讨论】:
标签: security login passwords forgot-password
在这两种情况下,私人信息(临时密码或重置链接)都是通过同一介质传输的。从这个角度来看,安全性没有区别。但是,重置链接有几个优点:您强制用户选择新密码。一旦他这样做,该链接就无效并且不能被滥用。相反,临时密码往往不像您喜欢的那样临时。即使你强制用户在下次登录时选择新密码,他也有可能再次输入临时密码。
此外,您可以记录使用重置链接的人的 IP,因此至少有一些东西可以在必要时移交给当局。
【讨论】:
对于普通大众来说,真的没有更好的方法。如果它是一个内部应用程序,您可以想象发送用户必须使用 PGP 解码的加密电子邮件,但除非您拥有非常高价值的小众产品,否则这永远不会为外部用户提供服务。
如果电子邮件不可用,您将不得不使用诸如安全问题之类的东西,但它们有自己的(在我看来更重要的)问题。问题包括:
【讨论】:
有很多更安全的方法可以重置密码。所有这些都对您的用户非常不便并且维护成本很高。让每个用户向您发送 DNA 样本和指纹,然后要求他们亲自出现以进行验证,这应该有助于您的安全。我很惊讶您的绝密组织允许您获得有关 stackoverflow 的安全建议。除了开玩笑,您的应用程序需要有多安全?攻击者真的会重置您用户的密码然后访问他们的电子邮件吗?
XKCD 总是说得最好http://xkcd.com/538/
【讨论】:
是否有任何重要的安全理由偏爱一种方法而不是另一种?
是的。如果您使用临时密码路线,那么任何人都可以通过不断点击重置链接并输入该用户的电子邮件地址来惹恼用户。如果您使用密码重置链接,用户可以忽略它们并删除电子邮件。
【讨论】: