認証されたユーザーに新しいパスワードを表示するページを作成するという不幸な要求を受けました。私はこの要件を一般的に悪い考えとして抗議することに失敗しましたが、陪審員はまだ出ていないと思うので、まだ試していない新しいパスワードを表示することに反対する議論があるかもしれません. 何か提案はありますか?
第 2 に、パスワードをテキストではなくイメージとしてユーザーに表示する方がよいでしょうか。テキストが「削られている」ことを懸念していますが、これは画像では難しいと思います。画像がユーザーのブラウザによってキャッシュされないようにするにはどうすればよいですか?
前もって感謝します、
画像はあまり確保できません。
HTTPS を使用する場合、パスワードはどちらの方法でも安全です。HTTP を使用する場合、パスワードはフォームから平文で送信され (何らかの確認のために表示していると思います)、数秒後にどのように表示されるかは問題ではありません。
重要なことは、パスワードを表示するページがキャッシュ不可であることを確認することです。
Cache-control: no-cache, no-store, must-revalidate
次のことを試しましたか?
それが本当に悪い考えなのかどうかはわかりません。どちらの方法でも、新しいパスワードをユーザーに送信する必要があります。暗号化されていない電子メールとして送信すると、Web メールの使用時にキャプチャされるかキャッシュされるという同じ問題があります。
画像を使用することをお勧めします。キャプチャのようなものかもしれません。しかし、これは人間の攻撃ではなく、自動化された攻撃に対してもう少し保護するだけです.
セキュリティを確保する唯一の方法は、HTTPS を提案する暗号化を使用することです。次に、ウェブサイトを使用して表示することは、電子メールやそのようなソリューションに依存するよりもさらに安全になる可能性があります.
ユーザーが新しいパスワードを入力できるようにすると、同じ問題が発生します。今度は、パスワードをサーバーに送り返す必要があります。
HTTPS を使用してトラフィックを暗号化し、一時パスワードのハッシュのみを保存して、実際のパスワードがデータベース内に保存されないようにすることをお勧めします。もちろん、物理的な「ハッカー」 (肩の後ろをのぞいている人など) が一時パスワードを盗むのを防ぐことはできませんが、可能であれば、ユーザーが一時パスワードでログインした瞬間にパスワードを変更するように要求することができます。これにより、一時パスワードのリスクが軽減されます。