asp.netアプリケーションがあります。このアプリケーションでは、を処理し[Forget password]ます。ユーザーがパスワードを忘れた場合、パスワードリセットリンクをメールで送信します。
多くのユーザーは、アプリケーションに入力した電子メールアドレスを忘れたことについて不満を持っています。[Forget password]対象のメールを確認できるように、セクションにいる間にメールアドレスを表示してほしいとのことです。
これは安全ですか?それを保護する方法がない場合は?
私のチームリーダーは、ユーザーが自分の電子メールを認識できるように、電子メールの最初の文字のみを表示するようにアドバイスしています。
限られた文字の電子メールのみを表示することに実際の危険はなく、先に進むことができます。
理想的には、私は常に2つのリンクを作成しました。1つ目は、ユーザーが秘密の質問に答えるように求められる「ユーザー名を忘れた」です。
また、ほとんどのWebサイト(google、facebookなどを含む)では、予備の電子メール/モバイルなどの代替ユーザーの連絡先の詳細を入力するようにしています。これは、ユーザー名を保護するのに役立ちます。また、後で選択した通信手段を特定してパスワードをリセットすることもできます。
私のアドバイスが必要な場合は非常に悪い考えです。電子メールが非公開のものであると想定される場合は、ハッカーにとって多くの情報になるため、その手紙を表示することすらしないでください。
多くのWebサイトでは、ユーザーが電子メールを入力して[送信]をクリックすると、入力した電子メールがデータベースにあるかどうかを通知できます。そうである場合、電子メールが送信されます。データベースにない場合は、メッセージを表示して、再試行してもらいます。メールが2つある場合は、メールの一部を表示しなくても、すぐに適切なメールを見つけることができます。
ユーザーに提供するすべての情報は、攻撃者にも提供します。ユーザーが自分のパスワードと入力した電子メールを忘れた場合でも、すべての電子メールアカウントを確認できますね。パスワードを思い出せず、持っているすべてのメールアカウントを思い出せない人がいるため、アプリケーションのセキュリティを少しでも低下させることはありません。
登録したメールへのリセットリンクを送信するのが一般的な方法だと思います。 ただし、その電子メールアカウントが侵害されたかどうか(またはおそらくどのように)を制御できないという事実を考慮すると(人々は将来のパスワードチャレンジなしでクライアント側の電子メールアプリケーションにIMAPを設定し、子供たちはママとパパのパスワードを理解します、または、名前を付けると、必ずしもナイジェリアの悪意のあるハッカーである必要はありません)、このアプローチはそれほど安全ではないように思われるかもしれません。その一部は、保護しているものによって異なります。
顧客が使用したメールアカウントを覚えていない場合(これは問題です)、必ずしも画面にメールアドレス(またはその一部)を表示して解決しようとするわけではありません。まったく別のアプローチを取り、セキュリティの質問を提供したり、必要に応じて新しいアカウントを作成させたりしたいと思います。
メールアドレスの一部のみを表示することをお勧めします。たとえば、joe.smith@gmail.comshowの代わりに:
joe.smith@*****
joe.*****@gmail.com
j*****@gmail.com
等々...