相关疑难解决方法(0)

我想知道在网站上创建忘记密码功能的最佳方法是什么.我见过很多,这里有几个或组合:

• 密码问题/答案(1个或更多)
• 使用新密码发送电子邮件
• 在屏幕上给出新密码
• 通过电子邮件确认:必须单击链接以获取新密码
• 要求用户输入新密码的页面

您会在忘记密码功能中添加哪些组合或附加步骤？我想知道他们如何申请新密码以及他们最终如何获得密码.

我正在操作委托人,无法检索密码; 必须提供/生成新密码.

编辑我喜欢Cory所说的关于如果用户名存在不显示的内容,但我想知道要显示什么.我认为问题的一半是用户忘记了他们使用的电子邮件地址,显示某种"不存在"的消息是有用的.有解决方案吗

我的公司正在开发一个在线人力资源和薪资应用程序,在这个应用程 我很清楚如何锁定大多数身份验证/授权过程,"忘记密码"页面除外.

我的初步计划是要求用户同时输入电子邮件地址和对先前选择/输入的质询问题的回复,并将临时密码邮寄到列出的电子邮件中(假设电子邮件有效).但我已经在这里和这里(都在SO上)读到挑战 - 响应方法是不安全的.

如果我们只是通过电子邮件发送临时密码,那真的是不安全吗？我能想到的唯一更安全的选择是要求用户致电他们的客户服务代表,这将给我们的员工带来很大负担.

我错过了什么...有更好的方法吗？谢谢!

我想为我的网站实现忘记密码功能.我使用sha1哈希密码.我该如何为用户恢复？

实现这个的最佳方法是什么？

通过Twitter上的直接消息而不是通过电子邮件向用户提供丢失的用户名或密码更好(更方便或更安全)？