PHP密码恢复

seh*_*mel 10 php passwords

我意识到,为了安全起见,密码不应该以明文形式存储在数据库中.如果我将它们哈希,我可以验证它们以用于登录.

但是,如果我想建立一个密码恢复系统,那么最好的策略是什么,因为没有撤消哈希？

有人能给我一个关于存储和恢复密码的良好安全策略的简要概述吗？

您无法恢复散列的密码,也不能.

你应该做的是:

对密码重置请求进行一些验证,如CAPTCHA.
创建一次性随机代码并将其链接发送到用户的电子邮件.
让这段代码在一小时后过期.
此代码一旦使用就会立即过期.
在与代码的链接上,如果验证,则允许他更改密码.
通知他密码已更改,但不要在电子邮件中发送.

绝对同意100%.切勿在电子邮件中发送任何密码(即使是临时密码).当然,一次性代码和密码一样好,但你能做什么...... (2认同)

你没有"恢复"密码.你做的是两件事之一.

通过电子邮件向用户发送一个链接以创建新密码,覆盖当前密码
通过电子邮件向用户发送随机生成的密码,然后让他们更改密码

归档时间：	14 年，10 月前
查看次数：	13822 次
最近记录：	10 年，6 月前

我应该如何道德地接近用户密码存储以便以后的明文检索？ 1346

更多相关链接

没有cookie或本地存储的用户识别 126

在PHP中将stdClass对象转换为数组 102

正确的PHP标头下载pdf文件 65

正则表达式的可变长度lookbehind-assertion替代方案 42

致命错误:调用未定义的函数pg_connect() 32

CodeIgniter3:为什么首先要设置$ _SERVER ['CI_ENV']？ 23

是否有针对JVM的PHP实现(类似于JRuby和Jython)？ 22

绑定pdo中的多个值 22

使用Laravel读取文件内容 18

为什么srand(time())是一个糟糕的种子？ 10

grep一个文件,但显示几个周围的行？ 3277

如何让Git忽略文件模式(chmod)的变化？ 2188

什么是反思,为什么它有用？ 2011

当键盘出现时 - 如何开始编辑时,如何让UITextField向上移动？ 1674

为什么++ [[]] [+ []] + [+ []]返回字符串"10"？ 1613

对于数组,为什么a [5] == 5 [a]？ 1567

丢弃Git中的本地提交 1304

Git:如何在项目提交历史中找到已删除的文件？ 1183

如何随机化(shuffle)一个JavaScript数组？ 1138

自定义HTTP标头:命名约定 1051