私のページには、次のようなスクリプトで保護された領域があります: http://www.wikihow.com/Create-a-Secure-Login-Script-in-PHP-and-MySQL 今必要なのは、ある種のパスワードですパスワードを忘れた場合のリセット機能。ユーザーはほんの数人で、できるだけ簡単にできるようにしています。
だから私はそれがどのように機能すると思いますか:
- ユーザーはそこに電子メールアドレスを入力します
- ユーザーは、sha512 でハッシュされたパスワードとそのユーザー名を GET パラメータとして含むリンクが記載された電子メールを受け取ります。
- スクリプトは、ユーザー名とパスワードのハッシュが適合するかどうかをチェックします
- ユーザーはそこに新しいパスワードを入力できるようになりました
このように行う強力なセキュリティ上の弱点はありますか、それとも一般的な方法ですか? そのためのベストプラクティスは何ですか?私は本当に追加のセキュリティ質問やそのようなものを望んでいません...
更新: パスワードはハッシュ化され、ソルト化されています。