Bee*_*eep 5 security authentication forgot-password
我的公司正在开发一个在线人力资源和薪资应用程序,在这个应用程 我很清楚如何锁定大多数身份验证/授权过程,"忘记密码"页面除外.
我的初步计划是要求用户同时输入电子邮件地址和对先前选择/输入的质询问题的回复,并将临时密码邮寄到列出的电子邮件中(假设电子邮件有效).但我已经在这里和这里(都在SO上)读到挑战 - 响应方法是不安全的.
如果我们只是通过电子邮件发送临时密码,那真的是不安全吗?我能想到的唯一更安全的选择是要求用户致电他们的客户服务代表,这将给我们的员工带来很大负担.
我错过了什么...有更好的方法吗?谢谢!
Rex*_*x M 15
不要通过电子邮件发送临时密码,请将用户的URL +令牌通过电子邮件发送到重置密码页面.这样,没有密码永远不会转换为未加密的手.对于最终用户来说,如果他们试图访问该页面并且已经使用了重置令牌,那么他们的帐户也会受到损害.
从评论中添加:
我认为质疑 - 回应("秘密问题")方面实际上会使事情变得不那么安全,因为它们通常是通过研究有关目标的公共信息而发现的事情.总计步数越少,在没有人知道的情况下可以破坏的步骤越少.让重置电子邮件尽早发布,通常是让人们了解正在进行尝试的好方法.
| 归档时间: |
|
| 查看次数: |
2600 次 |
| 最近记录: |