我想知道在网站上创建忘记密码功能的最佳方法是什么。我已经看到了很多,这里有一些或组合:
您会为忘记密码功能添加哪些组合或额外步骤?我想知道他们如何请求新密码以及他们最终如何获得它。
我正在操作的主体上密码无法找回;必须提供/生成新密码。
编辑我喜欢 Cory 所说的如果用户名存在则不显示,但我想知道要显示什么。我认为问题的一半是用户忘记了他们使用的电子邮件地址,显示某种“不存在”消息很有用。有什么解决办法吗?
【问题讨论】:
标签: authentication passwords forgot-password change-password
我的想法是对发送给用户的链接中的数据进行签名。然后,当用户点击链接,服务器接收到调用时,服务器也会得到加密部分,并可以验证数据未被触及。
我已经为这个用例实现了一个 JAVA 项目。它在 GitHub 上,开源。它完美地回答了您的问题……用 Java 实现。
至于电子邮件中的链接 - 它会生成链接,并在使用时对其进行验证。
对所有事情都有解释(如果缺少某些东西 - 让我知道...)
看看:https://github.com/OhadR/Authentication-Flows
查看Demo here。
这是使用 auth-flows 的客户端 web 应用程序,带有包含所有解释的 README。它指导您实施:https://github.com/OhadR/authentication-flows/tree/master/authentication-flows
【讨论】:
几个重要的安全问题:
如需了解更多背景信息,请查看Web Application Hackers Handbook。这是一本关于创建安全身份验证模型的优秀读物。
编辑:关于您编辑中的问题 - 我建议:
“已收到一封密码请求电子邮件 发送到您提供的地址。如果 一封电子邮件不会很快到达, 请检查您的垃圾邮件文件夹。如果不 电子邮件到达,然后没有帐户存在 使用您提供的电子邮件。”
这里需要在易用性和安全性之间进行权衡。您必须根据上下文来平衡这一点 - 安全性对您和您的用户来说足够重要以证明这种不便是合理的吗?
【讨论】:
我认为(gbrandt 的)选项 2 将是一个很好的方法,如果它与您已经为用户拥有的一些个人信息相结合。即出生日期。
当用户通过输入他的电子邮件地址请求新密码(重置)时,他还必须输入正确的出生日期(或其他内容),然后才能重置密码并将新密码通过电子邮件发送给用户。
只有熟悉他的人才能通过重置他的密码来惹恼他!它不能是陌生人或机器人
在 5 或 7 个错误的电子邮件地址和出生日期组合时,用户会收到电子邮件,告知其密码已被要求重置,但由于凭据不正确而失败。然后该帐户的密码重置将暂停 24 小时或任何所需的时间。
(如果有太多用户就这封电子邮件联系网络管理员,他会知道有人试图恶意从您的网站/应用程序中获取信息)
你们觉得呢?
【讨论】:
使用电子邮件验证/密码重置链接将为您提供更好的安全性。 如果您环顾四周,大多数网站都是这样做的,而且人们已经习惯了这种验证,所以我建议使用这种类型的身份验证。
【讨论】:
选项 1.不是一个好主意,因为通常他很容易被其他人猜到。 Sarah Palin 的个人电子邮件(我认为是雅虎)被第三方以这种方式入侵。
其他选项更好,之前的帖子已经概述了细节。
【讨论】:
选项 1 要容易得多。
【讨论】:
使用新密码发送电子邮件。
当他们到达并输入新密码时强制更改密码。
这样可以确保只有想要密码的人才能进入该帐户。
如果电子邮件被嗅探,有人可能会进入该帐户(当然),但真正的一方会立即发现这一点(因为您刚刚发送给他们的密码不起作用)。
同时向用户发送密码更改确认。
如果有人获得了新密码,然后收到一封电子邮件说“感谢更改密码”,他们会很困惑,如果他们没有这样做,他们会与管理员交谈。
【讨论】: