私は自分のWebサイトにパスワードを忘れた場合の機能を実装しています。ベストプラクティスについて他のWebサイトを調べていると、Gmailがこれを強制していることがわかりました。他のサイトでは、この制約が強制されていません。
2 に答える
私はそれが追加のセキュリティをほとんどまたはまったく提供しないと思っていたでしょう. ユーザーがパスワードを紛失しないことを信頼していますが、どちらの方向にも進む可能性があると思います。
新しいパスワードを選択する必要がある場合は、それを書き留めるか、もう一度忘れる可能性が高くなりますが、新しいパスワードを使用している場合、使用しているパスワードを知っている誰かがそれを使用して Web サイトにアクセスする可能性は低くなります。 .
いずれにしても、平文ではなく、比較のためにハッシュ化されたパスワードを保存していることを確認してください。
パスワードとパスワードのセキュリティについては、時代遅れの考え方がたくさんあります。
ユーザーのパスワードが侵害された場合、何日後にパスワードを変更しても、攻撃者はシステムからブロックされます。
そのユーザーが戻って古いパスワードを再利用した場合、ハッカーはそのアカウント/パスワードを再試行して、システムへのエントリを回復することを決定する可能性があります。
もちろん、それはまったく新しい一連の問題を引き起こします。ユーザーが自分のパスワードを思い出せないようにし、モニターにテープで貼り付けた付箋にパスワードを書き始めるようにします。
個人的に?私が取り組んできたすべてのサイトで、パスワードの有効期限を追加することが重要だと思ったことは一度もありませんでした。