問題タブ [forgot-password]

Webサイトでパスワードを忘れた機能を作成するための最良の方法は何だろうと思っています。私はそこにかなりの数を見てきました, ここにいくつかまたはいくつかの組み合わせがあります:

• パスフレーズの質問/回答 (1 つ以上)
• 新しいパスワードをメールで送信
• 画面で新しいパスワードを入力
• 電子メールによる確認: リンクをクリックして新しいパスワードを取得する必要があります
• ユーザーに新しいパスワードの入力を求めるページ

パスワードを忘れた場合、どのような組み合わせまたは追加の手順を追加しますか? 彼らが新しいパスワードをどのように要求し、どのようにしてそれを取得したのか疑問に思っています.

パスワードを取得できないという原則に基づいて操作しています。新しいパスワードを指定/生成する必要があります。

編集ユーザー名が存在する場合は表示されないというCoryの発言が好きですが、代わりに何を表示するか疑問に思っています。問題の半分は、ユーザーが使用したメールアドレスを忘れたことにあると思います。「存在しません」というメッセージを表示するのは便利です。解決策はありますか？

私の会社は、アクセスの保護が重要なオンラインHRおよびPayrollアプリケーションを開発しています。「パスワードを忘れた場合」ページを除いて、ほとんどの認証/承認プロセスをロックダウンする方法を明確にしています。

私の当初の計画は、ユーザーに電子メールアドレスと、以前に選択/入力したチャレンジ質問への回答の両方を入力するように要求することでした。一時的なパスワードは、リストされた電子メールにメールで送信されます（電子メールが有効であると想定）。しかし、私はこことここ（両方ともSO）で、チャレンジ/レスポンスアプローチは安全ではないことを読みました。

ただし、一時パスワードのみを電子メールで送信している場合、それは本当に安全ではありませんか？私が考えることができる唯一のより安全なオプションは、ユーザーにカスタマーサービス担当者に電話するように要求することです。これは、従業員に大きな負担をかけます。

私は何が欠けています...より良いアプローチはありますか？ありがとう！

存在しない古いアプリケーションを使用している顧客がいます。彼はアプリケーションを作成した会社に問題があり、彼らは彼のデータベースのパスワードを公開しません。彼は、アプリケーションを「レンタル」しているようなものであり、何も開示する権利がないという契約書に署名した (当時) ことに気付きました。この顧客は、その会社で同じ問題を抱えているのは自分だけではないことに気付きました。彼は歯科医であり、同じ古いアプリケーションを使用している他の歯科医が、新しいソフトウェアを購入しようとして患者を新しいシステムに移行しようとしたときに、同じ問題を経験しました。

どちらの場合でも、彼は自分の小さな firebird データベースを開きたいので、少なくとも一部のデータを SQL Server に抽出できます。デフォルトの「マスターキー」（実際には、8文字の制限により「マスターキー」です）を試してみましたが、役に立ちませんでした。

今、私は彼が合法的に会社に彼の情報を公開するよう強制しようとすることができることを知っていますが、私はそれを手短にやりたいと思っています. 古いFirebirdパスワードをブルートフォース/クラックできるアプリを知っている人はいますか?

ありがとう。

編集: レガシー ソフトウェアは「STOMA-W」です。インターネット上でも見つけることができません。彼らはスペインのアストゥリアスにあります。

を使用する基本認証プロセスがありますZend_Auth_Adapter_DbTable。認証コントローラーにログインとログアウトのアクションがあります。ここで、パスワードを自動的に生成し、新しいパスワードを保存し、新しく生成されたパスワードを電子メールで送信することで、忘れたパスワードをリセットする機能を作成したいと考えています。

これを行うための最良のプロセスは何ですか？新しいパスワードを生成するにはどうすればよいですか? Zend Framework には、これを簡単にするものはありますか?

新しいパスワードを設定できる短期間のページへのリンクが記載された電子メールを送信したという話も聞いています。Zend Framework でこれを行うにはどうすればよいでしょうか?

重複の可能性:
パスワードを忘れた: パスワードを忘れた機能を実装する最良の方法は何ですか?

コミュニティ Web サイトをプログラミングしています。

「パスワードを忘れた」機能を構築したい。

さまざまなサイトを見回してみると、次の3 つのオプションのいずれかが採用されていることがわかりました。

1. パスワードを変更できる固有の非表示 URL へのリンクが記載されたメールをユーザーに送信します (Gmail および Amazon)。

2. ランダムに生成された新しいパスワードを記載したメールをユーザーに送信します(Wordpress)

3. ユーザーに現在のパスワードを送信します(www.teach12.com)

オプション #3はユーザーにとって最も便利に思えますが、私はパスワードを MD5 ハッシュとして保存しているため、 MD5 は元に戻せないため、オプション #3 をどのように使用できるかわかりません。これは、Web サイトがパスワードを平文でどこかに保存している必要があり、少なくとも平文のパスワードが安全でない電子メールでユーザーに送信されていることを意味するため、安全でないオプションのようです。それとも、ここで何か不足していますか?

したがって、オプション 1 を実行できない場合は、ユーザーのパスワードを変更してユーザーに送信するだけでよいため、オプション 2が最も簡単にプログラムできます。安全でない電子メールを介して通信されるライブパスワードを持っている必要があるため、これはやや安全ではありません. ただし、これはトラブルメーカーによって悪用され、無作為に電子メールを入力したり、さまざまなユーザーのパスワードを絶えず変更したりして、ユーザーを悩ませる可能性もあります。

オプション #1が最も安全に思えますが、有効期限が切れる隠し URL などを処理するために少し余分なプログラミングが必要ですが、大規模なサイトが使用しているようです.

これらのさまざまなオプションを使用/プログラミングした経験はありますか? 見逃したオプションはありますか？

私たちは、パスワード取得の従来のWebアプリ機能を実装する必要があるWebアプリケーションに取り組んできました。トレンドによると、次のようなアプローチがあります。

1. ユーザーの電子メールへのパスワードリセットリンクの送信。
2. パスワード回復のためにユーザーに秘密の質問をする。
3. 既存のパスワードをリセットし、新しいパスワードを作成してユーザーに送信します。これにより、ユーザーは次回のログオン時にパスワードを変更しなければならない場合もあります。

パスワード取得メカニズムを実装するための従来とは異なる手法はありますか？このために他にどのようなアプローチを試しましたか？

ありがとう。

ASP.Net メンバーシップ プロバイダーが提供するセキュリティの質問と回答機能は必要ありませんが、紛失/忘れたパスワード ページを有効にしたいと考えています。

このページは、ユーザーが自分の電子メール アドレスを入力する場所です。ユーザーが登録されている場合は、登録された電子メール アドレスに送信されたリンクを介してパスワードをリセットするために電子メールがそのアドレスに送信されます。

このようなリクエストを追跡するためのカスタム テーブル、リクエストに割り当てられたランダム キー、およびリクエストの有効期限を作成しました。ただし、実際にパスワードをリセットするコードを作成する際に、セキュリティ Q&A ビット (私が持っていない) を使用せずに ResetPassword(email, newPassword) のようなことを行うメソッドがないように思われることに気付きました。

組み込みのメンバーシップ機能を介してユーザーのパスワードを簡単にリセットする方法はありますか?

そうでない場合、どのようにこれを行う必要がありますか?

助けてくれてありがとう。-日産

「パスワードを忘れた」機能を実装するための最良の方法を探しています。

私は2つのアイデアを思いつきます：

1. ユーザーが [パスワードを忘れた場合] をクリックすると、ユーザーはユーザー名、電子メール、生年月日または姓をキー入力する必要があります。その後、一時パスワードが記載されたメールがユーザーのメール アカウントに送信されます。ユーザーは一時パスワードを使用してログインし、パスワードをリセットします。

2. 同様ですが、電子メールには、ユーザーが自分のパスワードをリセットできるリンクが含まれています。

または、誰かが私にもっと良い安全な方法を提案できますか? また、一時パスワードまたはリンクを送信するか、ユーザーに 24 時間以内にパスワードをリセットするよう強制することも考えています。そうしないと、一時パスワードまたはリンクが使用できなくなります。どうやってするか？

電子メールではなくTwitterのダイレクトメッセージを介して、紛失したユーザー名またはパスワードをユーザーに提供する方が（より便利または安全に）なりますか？

パスワードを忘れて新しいパスワードをメールで送信するユーザー向けのページを設計する必要があるアプリを開発しています。ASP.NET メンバーシップを使用しており、パスワード形式はハッシュ化する必要があります。

私の問題は、メールの送信に失敗したとき、パスワードが変更されたときです。仕事はできません。

あなたの解決策は何ですか？