0

同様の質問がたくさんありますが、私はこれを見ませんでした:

私はユーザー名にユーザーの電子メールを使用しています-それらはユニークでありながら記憶に残るものです(表示されていません)。
そして、「検索」のsend_a_new_random_password。

しかし、それは不満を持った元がユーザーのパスワードを何度も変更することを可能にするでしょう:(

これを回避するために(ここに来ます)、ユーザーレコードに2つの「正しい」パスワードを入れたいです
-PASSWORDとnewPASSWORD(両方ともPHPass 0.3でハッシュされます)

次に成功したログイン(両方をチェック)で、使用済みのものをPASSWORDとして保存し、newPASSWORDをダンプします-したがって、click_this_obscure_URL_to_enableプロセスを不要にします:)

私は何かを見落としていますか?

4

2 に答える 2

6

アカウントのパスワードを実際にリセットするのではなく、リセットリンクを含む確認メールを送信するという考え方です。このようにして、電子メールアカウントにアクセスできる人だけが実際にリセットを実行できます。(不満を持った元がメールにアクセスできない場合:P)

于 2011-03-17T09:34:27.037 に答える
1

ユーザーがパスワード変更メールのリンクをクリックした場合にのみ、新しいパスワードをアクティブにするのが標準的な方法です。あなたのメカニズムはそれに非常に似ています。あなたのメカニズムは私には大体うまく見えます。

電子メールでパスワードを送信したくない場合(結局は暗号化されていません)、リンクのリセットメカニズムを使用するか、ユーザーが次回のログイン時に変更する必要のある一時的なパスワードを使用する必要があります。しかし、ほとんどのWebサイトでは、パスワードを電子メールで送信することは、セキュリティ上の懸念が最も少ないと思います。

于 2011-03-17T09:33:59.787 に答える