2

パスワードを忘れた場合、およびいくつかの条件と状況に基づいてパスワードをリセットするためのより良い方法について、これらの 2 つのリンクを読みました...

パスワードを忘れた: パスワードを忘れた機能を実装する最良の方法は何ですか? 「パスワードを忘れた」場合の最善の方法は何ですか?

しかし、私は少し違う問題を抱えています。

パスワードのリセット/パスワードを忘れることを考えていますが、課題はグループメールに属するユーザーがいるということです

例: engineering@mycorporate.com、h.resource@mycorporate.com など

各グループの電子メールには、電子メールがグループの一部である多くのユーザーがいて、グループの電子メールを使用してローカル イントラネット システムにサインインする必要があります。

パスワードをリセットするためのパスワードを忘れた場合のリンクがある場合、ここにいくつかの可能性があります。

  1. グループ メールのユーザー キー、グループ メールの確認、一意の文字列を含むリンクの送信 (ただし 1 時間は一時的なもの)、メールから一意のリンクをクリックし、新しいパスワードを入力して新しいパスワードを確認します。

  2. グループ メールのユーザー キー、グループ メールの確認、新しいランダムに生成されたパスワードのグループ メールへの送信、1 時間以内にサインインしてパスワードを変更する必要があります。

しかし、どういうわけか問題は、グループに属するすべてのユーザーがランダムなパスワードを知っているというグループの電子メールの問題からまだ生じています (ポイント 2)。

しかし、方法ポイント 1 またはポイント 2 のいずれかを使用すると、人物 Y がパスワードを忘れてリセットすることを実行し、人物 Z または他の人は新しくリセットされたパスワードを知りません...

どう思いますか?

4

1 に答える 1

0

グループ電子メールの受信者にパスワードを秘密にしておくことは意味がありません。それぞれがパスワード リセット プロセスを開始して完了し、パスワードを好きなように設定できるからです。メール グループのすべてのメンバーが問題のアカウントにアクセスできない場合は、グループのメール アドレスではなく、個人のメール アドレスを参照するように変更する必要があります。

実際に電子メール グループのすべてのメンバーがパスワードを知っていることを意図している場合は、実際の変更のために実装するメカニズムに関係なく、新しいパスワードをすべてのメンバーに配布するためのチャネルが必要になります。公開鍵暗号を信頼でき、実際に許可された受信者だけがパスワードを読み取ることができることを確認できる場合、または非常に重要なシステムではない場合は、セキュリティのベストプラクティスを無視して新しいパスワードを送信するだけでよい場合は、電子メールで問題ありません。平文メール。

于 2012-05-28T09:20:58.637 に答える