Kzq*_*qai 13 security passwords design-patterns
我正在为我的网页游戏http://ninjawars.net添加一个"更改密码"功能,该网站目前已修复(并且基本上不会更改)密码.
我想避免弄乱它,所以我想确保我有基本的安全基础.
从facebook的做事方式中我可以得到的东西,要记住的关键点要点是:
Facebook还:
- 要求新密码与过去的密码不同.(看起来像边缘情况使用)
这些只是我可以从facebook帐户系统的外部用户界面收集到的政策.提供"更改密码"系统时,我应该涵盖哪些其他安全点?
编辑: 在我的具体情况下,我打算通过[插入各种标准]相对宽容,以确定哪些字符必须进入密码本身.我的网站不是银行,如果玩家想要使用密码"password1",那么他们应该期望他们的帐户被他们的朋友接管. 我的注意力,另一方面,是在确保我的网站为防止"恶意收购"的任何机会,通过在任何一种不安全的密码更改系统本身.
从以下答案中获得更多好处:
保持更改密码以及对电子邮件地址的任何更改.这样,任何想要改变的人都必须知道两者.
当用户请求密码更改时,通过电子邮件发送指向该页面的链接.这将确认他们是帐户的所有者,并在有人试图访问其帐户时提醒他们.然后,当密码被更改时,通过电子邮件将确认信息发送给他们.
| 归档时间: |
|
| 查看次数: |
693 次 |
| 最近记录: |