那些遇到过的问题

生成重置密码令牌的最佳做法

Jus*_*tin 22 passwords guid reset-password

关于如何构建重置密码令牌的最佳实践?我在想:

随机17个字符[a-zA-Z0-9] +全局唯一id +随机17个字符[a-zA-Z0-9].

是否有更好的解决方案,或重置密码令牌的行业标准?

mar*_*kli 38

有一些重要的要点需要考虑.

  1. 代码应该是随机的(从MCRYPT_DEV_URANDOM读取),不应该从其他用户相关信息中获取.
  2. 理想情况下,代码是base62编码的(AZ az 0-9),以避免Url出现问题.
  3. 在数据库中存储令牌的哈希值,否则对数据库具有读访问权限的攻击者可以重置任何帐户.

这导致了在用户单击链接后必须在数据库中找到令牌的哈希的问题.存储令牌有两种可能的方法:

  • 您使用SHA512之类的哈希算法对令牌进行哈希处理,而不使用盐.如果令牌非常强大(最小长度为20且0-9 az AZ),则这是安全的.从理论上讲,在将数据输入数据库之前,必须检查这种哈希是否已经存在,实际上这可以忽略不计.我实现了一个可以处理这些令牌的密码重置类.
  • 您使用BCrypt和salt散列令牌.这允许更短的令牌,但您无法在数据库中搜索散列令牌.相反,您必须在链接中包含row-id才能找到令牌.

  • 有关[存储在数据库中时密码重置令牌是否应该进行哈希处理的更多信息?](http://security.stackexchange.com/questions/86913/should-password-reset-tokens-be-hashed-when-stored-in-一个数据库).另请注意,您的重置令牌**应该到期**. (4认同)
  • @DustinRasener - 获取对数据库的写访问权限比只读访问权限要困难得多.使用SQL注入,丢弃备份,使用已部署的服务器可以获得读访问权限......另一方面,如果攻击者有权写入数据库,他不需要重置密码,他只需覆盖密码哈希直接. (2认同)

归档时间:

查看次数:

17774 次

最近记录:

9 年,6 月 前
相关归档
GUID有多短? 18
[sql-Server]用什么数据类型来设置密码盐和哈希值以及长度是多少? 15
Mysql UUID_SHORT()是否与UUID()相当 8
自从迁移我的Parse应用程序的MongoDB以来,验证电子邮件无法正常工作 5
如何以安全的方式提供密码重置功能? 3
Android:为什么在Gradle中签名配置需要明确的密码? 3
密码盐存储 2
nodejs-如何比较bcrypt的两个哈希密码 2
需要密码才能访问页面 1
如何使用Dojo创建密码输入? 0
难疑归档
基于表单的网站身份验证的权威指南 5311
JavaScript对象的长度 2224
什么是JSONP,为什么创建它? 2040
如何显示已上演的更改? 2034
如何创建一个像链接一样的HTML按钮? 1769
在Mac上查找(并终止)进程锁定端口3000 1595
无法打开与身份验证代理的连接 1473
如何完全删除使用init创建的git存储库? 1358
.NET - 枚举的jSON序列化为字符串 1088
在jQuery中删除事件处理程序的最佳方法? 1038