Low*_*ghe 5 php security email password-recovery
我正在建立一个有限数量用户的PHP网站(最多20个).我花了很多时间来保护它,并对这个主题进行了大量的研究.
考虑到安全的密码重置系统,我遇到了一个问题.我想使用最方便的方式,即使用包含重置密码的令牌的URL向用户发送电子邮件.令牌绑定到某个用户,并且仅在一定时间内有效.唉,这似乎并不安全,因为可以截获电子邮件流量.我一直在考虑对令牌进行额外检查,例如ip和浏览器(http_user_agent),但这也可以被绕过.
我可以使用安全问题或将代码链接到必须由管理员提供的令牌以便使用令牌网址(由于用户数量有限而可管理),但我宁愿避免这种情况.
我注意到Facebook,Tumblr以及可能更多的人使用方便的方式发送带有网址的电子邮件而没有其他安全问题.考虑到安全性是这些公司的首要任务之一,他们如何设法使这个过程安全(我认为是这样)?是否有任何特殊的安全检查?或者电子邮件 - 流量 - 拦截 - 安全漏洞有点过分夸大了吗?
提前致谢.
我不了解 facebook 和 twitter(从来没有重置过我的密码),但根据我的经验,没有什么真正安全的东西可以自动且方便地用于保护密码重置电子邮件的安全。有两种情况需要使用这样的电子邮件:
在第一种情况下,电子邮件只是为了方便而存在,并没有真正的安全需要。最好的办法是花很短的时间来使用重置令牌,或者检查 cookie 如果您真的很偏执。
在第二种情况下,您必须确保最终用户收到电子邮件,而不是攻击者。因此,您可以防止在注册后更改电子邮件,从而将帐户安全与电子邮件帐户的安全性联系起来。
在这两种情况下,你都无能为力。安全问题根本不安全,除非用户足够聪明,不会回答问题而是在其中输入另一个更安全的密码。最后,这与重置电子邮件是同样的问题。
正如您所建议的,唯一更安全的其他方法是由管理员检查密码重置请求。如果您的用户数量非常少,那么它会起作用,但每天工作仍然会很痛苦。
| 归档时间: |
|
| 查看次数: |
952 次 |
| 最近记录: |