0

ASP.Net MVC 2 Web アプリケーションでパスワードのリセット/パスワードを忘れた機能の実装に取り​​組んでいます。

ここで、本質的にこれらの手順を提供する多くの投稿を読みました。

  • ユーザーが「パスワードのリセット」をクリックします。
  • ユーザーは電子メールを求められます。
  • ユーザーが電子メールを入力し、[送信] をクリックします。
  • 安全なハッシュを作成します (RNGCryptoServiceProvider を使用できます)
  • ハッシュ、ユーザー情報 (電子メール アドレスは一意であるため、ユーザー ID を保存できますか?? これは正しいですか?)、および日時情報 (有効期限用) を PasswordReset テーブルに保存します。
  • パラメータとしてハッシュを含むリンクを、指定された電子メール アドレスに送信します。

    • セキュリティの質問を使用せずにこれを達成したいと思います。

    *私の質問は、ユーザーからリンクがクリックされた後の検証プロセスです。PasswordReset テーブルでハッシュと電子メール アドレスを検索するだけですか? ユーザーのメール アカウントがハッキングされた場合はどうなりますか。その後、ハッカーはリンクをクリックするだけで、パスワードを任意の値にリセットできます。検証プロセスに必要なセキュリティ チェックを統合する方法がありません。*

    4

    1 に答える 1

    0

    セキュリティの質問を「リセット」プロセスに追加できます。

    以下のリンクの一般的なコンセンサスが何であるかはわかりませんが、そこにある手順は適切なようです. https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet

    于 2013-05-17T20:07:36.537 に答える