14 forms security registration
您在我们的网站上注册时将您的用户名和密码发送到他们的电子邮件地址有什么看法...这样如果他们将来忘记了密码,他们可以在他们的电子邮件中查找...我们也不必执行忘记/重置密码方案(我们接近发布)..
这种方法足够安全吗?
这是好的..足够安全......关注点是什么
Noa*_*ing 25
切勿直接发送密码或其他敏感信息.这包括电子邮件.您还应该以可恢复的格式尽可能少地存储.未加密的通信,特别是电子邮件,很容易被篡改,并且您不希望错误的人获取密码.
如果可能的话:
将您的密码存储在盐渍哈希中,因此原始文本是不可恢复的,因此不会发生任何蛮力攻击.如果用户忘记了他/她的密码,请让他们重置密码并通过电子邮件发送临时密码(他们需要在登录时更改)或确认链接(再次提示输入新密码).
切勿通过电子邮件发送任何敏感内容; 如果用户需要信息,请让他们到您的网站获取信息.你正在使用HTTPS,对吗?
人们经常跨站点共享密码。因此,您应该假设相同的密码适用于客户的网上银行,并且您永远不应该通过电子邮件发送密码或为(假装的人)客户提供检索密码的方法。
可以向他们发送一封包含用户名的确认电子邮件 - 这很有用。
请记住,如果您通过电子邮件将密码发送给他们,他们可能会忘记该电子邮件,或者干脆将其删除。所以无论如何你都需要另一个密码重置机制。
处理“忘记密码”情况的最好方法是让用户要求您通过电子邮件向用户发送链接;当他们单击链接时,您允许他们输入新密码。
关于个人信息(地址、收入等):为什么有人希望将其邮寄给他们?他们已经知道了!您只是无缘无故地通过互联网发送未加密的私人数据。
令人担忧的肯定是发送带有密码的电子邮件。如果未正确加密,有人可能会嗅探正在发送的电子邮件中的数据包并恢复密码。此外,此人可能拥有被劫持的电子邮件帐户。如果有人窃取密码并不是什么大问题,那么您可能不必担心,但否则我不会通过电子邮件发送任何未加密的密码。
编辑:为了解决你的第二个问题,我什至不会通过电子邮件发送该问题。我会发送一个链接,以便他们在登录时可以轻松查看自己的个人资料/信息。
| 归档时间: |
|
| 查看次数: |
29227 次 |
| 最近记录: |