問題タブ [forgot-password]

残念ながら、ユーザーがパスワードを忘れた場合に、登録済みのアカウントにパスワードを送信する機能をユーザーに提供するように依頼されました。

「パスワードをお忘れの場合はこちらをクリックしてください」

つまり、これは、パスワードを復号化できる必要があることを意味します。私はそれが好きではありませんが、それが要件です。私はSHA1でSALTとHASHINGパスワードを使用することに慣れています。次に、ソルトとハッシュ化されたパスワードをリポジトリに保存します。

今すぐ復号化できるパスワードを保存したい場合は、どうすればよいかわかりません。多かれ少なかれ同じですが、代わりにAESを使用する必要がありますか？

いくつかの助けが欲しいです（そしてできれば.NETのコードサンプル）。

乾杯！

注：このスレッドをハッシュvsデクリプティングvsOpenAuthに関するトピックに変えないでください。

パスワードを送信するための REST 呼び出しを実装するためのベスト プラクティスは何ですか。これは、これをリソースとして使用するためのベストプラクティスは何ですか?

/ユーザー/パスワードを忘れた

送信先のメールアドレスを投稿しますか？

私には、それは少しRESTfulに思えない...考えです。

ちょっとばかげた質問ですが、人々が何を言わなければならないのか興味があります.

ありがとう！

完全にオンラインで、何らかのパスワード リセット メールを送信する必要のないパスワード回復ツールを使用、作成、または見たことがあるかどうか疑問に思っていました。

私はセキュリティ上の懸念を理解しており、これは物事を処理するための安全な方法ではないという考えに完全にオープンですが、雇用主からこの種のソリューションを調査するように命じられました. こういうものを使ったことがあるような気がします。

私たちの主な懸念は、メール スパム フィルターがパスワードを紛失したメールを取得することです。これらのメールのフォーマットに関するベスト プラクティスがあれば、それも送信するのに最適です。

何かご意見は？

ありがとう

クレイグ

Web アプリケーションのパスワード リセット システムを作成するとします。システムは、アカウントの電子メールにリセット リンクを送信するために、ユーザー名または電子メールのいずれかを必要とします。

次の相反する要件を考慮してください。

• クラッカー A は、現在システム内で一致するものを見つけようとして、潜在的なユーザー名 (または電子メール) をシステムのフォームに入力します。

理想的には、システムは既存のユーザー名と電子メールの存在を確認も拒否もせず、どちらの場合にもまったく同じフィードバックを提供して、一致が明らかにならないようにする必要があります。

• ユーザー B は自分のパスワードをリセットしようとしますが、ユーザー名の綴りを間違えたり、さらに悪いことに記憶違いをしたりして、ファイル上のどのアカウントとも一致しません。そのため、リセット要求が満たされることはありません。

理想的には、ユーザーがリセットを要求してから数秒後に、「申し訳ありませんが、そのようなユーザー名 (または電子メール) がファイルにありません。スペルをチェックしてみてください。または先に進むことができます。」新しいアカウントを作成してください。」さもなければ、彼らはメールをチェックしても、何も見つからず、待っても何も見つからず、もう一度リセットしても何もない (送信できる一致がないため) 他の場所にビジネスを移す可能性があります。運が良ければカスタマーサービスに電話？

これらの相反する目標を解決するには、どのような方法がありますか?

編集：

問題を熟考した後、問題を解決する 1 つの方法は、電子メール アドレスのみを使用することであり、その電子メールがシステムに存在しない場合は、「そのアカウントは存在しません。ここにリンクがあります」を送信することを検討しています。新しいアカウントを作成するには」というメッセージが、リセット リンクの代わりにメールに送信されます。

そうすれば、ユーザーは常に情報を得ることができ、クラッカーは、既にアクセスできるアカウントに送信された電子メールしか受信できず、役に立たない.

わかる？そのアプローチの問題？

私は大学向けのWebサイト用のWebサイトを設計していますが、「ログインを忘れた」シーケンスの背後にあるビジネスロジックの設計に問題があります。
ユーザーは大学の電子メールで登録されるため、パスワードを忘れた場合は、大学の電子メールにパスワードを電子メールで送信できます。ただし、問題は、ユーザーが大学を卒業した後、このメールアドレスがなくなったときに戻ってログインを試みることができることです。パスワードを忘れた場合、このメールはもうないため、メールで送信することはできません。

上司は、最初のログイン時に答える名前、名前、dob、「お気に入り」の質問など、いくつかの識別用の質問をするシステムを実装することを望んでいます。これは私には本当に悪いように思えます。なぜなら、1）これは「それがあったらいいのに」セキュリティであり、2）Webサイトは非常に個人的な情報を保持しているからです。

誰かがこれについて何かアイデアやより良い実装を持っていますか？私が考えたのは、最初の登録時に二次的な電子メールを要求することでしたが、他に何があるのか​​疑問に思っています。また、私は希望するセキュリティの実装に固執するのが正確ですか？

ありがとう

そこで、prestashop のローカル コピー (~Sites/shop) と /etc/hosts をセットアップして、'localhost/shop' で開発できるようにしました。一時的な場所 (http://66.206.84.189/~walnutci/shop) であるサーバーにプッシュする準備ができました。サイト全体ではなく、ショップのサブページのみです。メイン サイトのコンテンツは静的である必要があるため、これを「shop」フォルダーに含める必要があります。

タールを塗って /shop サブフォルダーに移動し、ローカル コピーと同じ名前の空のデータベースを作成し、同じ名前のユーザーとアクセス許可を使用して、データベースをインポートしました (したがって、config/settings をいじる必要はありません)。 .inc.php) そして...

ホームページはローカル コピーである localhost/shop にリダイレクトします。そのため、[Preferences] > [SEO&URL] でログインして変更しようとすると、http://66.206.84.189...hop/adminfolder によって適切にバックエンド ログインに転送されます。ただし、管理者の電子メールとパスワードが取得されません。同じデータベース != 同じ資格情報? で更新しました

そしてジルチ。Enter キーを押すと、入力が無視されてページが更新されます。URL には、ログインしようとしているメール アドレスが表示されますが、赤いエラーは表示されません。パスワードのゴミを入れると、「間違ったパスワード」という適切なエラーがスローされます。私のパスワード、およびデータベースで手動で更新することは、ローカルで正常に機能します。

では、管理者パスワードを手動で更新するのは間違っていますか? どうにかしてサイトの URL をハードコーディングできますか? フォルダー名を同じにして、Apache /etc/hosts を使用することで、リダイレクト エラーが発生しないと考えました (フレンドリ URL がオフになっているため、.htaccess はどこにもありません)。

1.4.6.2 を実行しています。Mac OSX 10.7.2 ローカル、サーバーは CentOS 5.7 です。

どうもありがとう。私はしばらく前に Prestashop に投稿し、週末を探し続けましたが、まだ解決していません. アイデア/洞察に感謝します。

EZ Publish CMS を使用しています。

現在起こっていること:

1. パスワードを忘れた場合のページから、ユーザーは登録に使用したメールアドレスを入力して送信します

2. ユーザーは、ID を確認するためにハッシュを使用するパスワード生成リンクが記載された電子メールを受け取ります。

3. ユーザーは、新しく生成されたパスワードが記載された電子メールを受け取ります

4. ユーザーは電子メールのリンクを使用してサイトに戻り、古いパスワード (生成されて電子メールに送信されたもの) を要求するフォームに移動し、新しいパスワードを入力します。

私がしたいこと：

1. 「パスワードを忘れた」ページから、ユーザーは登録に使用したメールアドレスを入力して送信します

2. ユーザーは、「新しいパスワードを入力してください」フォームへのリンクが記載された電子メールを受け取ります

3. 「新しいパスワードの入力」フォームでは、ID がハッシュによって既に確認されているため、ユーザーは古いパスワードを入力する必要がなく、新しいパスワードを入力するだけで済みます。

オリジナルの 4 ステップのプロセスを持つ EZMBPAEX エクステンションを使用しています。「ユーザーに新しいパスワードを電子メールで送信する」手順を削除することについてのドキュメントや議論はないようですが、私のクライアントには非常に厳格な電子メール ポリシーでパスワードを送信しないポリシーがあるため、これに柔軟に対応することはできません。

この機能を編集する方法に関するドキュメントがどこにあるか知っている人はいますか?

編集する必要があるファイルは次の場所にあると思います。
/extension/ezmbpaex/modules/userpaex/forgotpassword.php

Apache や mysql などをインストールしたときにパスワードを設定していたのですが、忘れてしまいました。どうすれば変更できますか？多分新しいアカウントを作成しますか？データベースにアクセスする必要があるだけです。

編集：ubuntuで使用しています

編集：破壊的な方法でも大丈夫です。つまり、すべてをアンインストールしてからすべてを再インストールしますが、それもパスワードを要求しているため、OS全体を再インストールしたくありません。:(

hsqldb 形式の一連のデータベース ファイル (つまり.data、.propertiesおよびファイル) がありますが、以前にそれらを管理していた人が退職し、資格情報を残しませんでした。.scriptデフォルトの「sa」ユーザーとデフォルトの空のパスワードを渡して、スタンドアロンのファイルベースのデータベース (SqlTool や DatabaseManager など) にアクセスする手段を使用してデータベースに接続しようとすると、次のような結果が得られます。

hsqldb 認証全体と許可スキームを簡単にバイパスし、「sa」ユーザーを完全な権限でリセットする方法はありますか? hsqldb のドキュメント全体を掘り起こし、Google でいくつかの調査を行いましたが、それをバイパスする手段が見つかりませんか?

それとも、ブルートフォースなしでは完全に不可能ですか (つまり、ファイルは実際には特定のパスワードで暗号化されています)? This questionは、パスワードがファイルに保存されていることを述べていますが、ファイルに生のライブ文字列データが表示されているにもかかわらず、コマンドを使用して、.script私が持っているパスワードが設定COMPRESSEDまたはBINARYフォーマットされているようです(肉眼ではどれかわかりません) . BINARY 形式を復号化することはできますか?SET SCRIPTFORMAT.data

ユーザーに強制的にログアウトさせずに「パスワードを忘れた」手順を呼び出す方法があるかどうか疑問に思っています

私が遭遇しているケースは次のとおりです: 1. ユーザーが Facebook でログインすると、偽のパスワードが生成されます。

デバイスはこれらのフィールドを変更するためにパスワードを必要とするため、当然のことながら、ユーザーはそれらを変更できません

パスワードの設定を強制しないことを考えていましたが、セキュリティ上意味がありません。代わりに、フィールドをテキストとして表示し、パスワードを設定するために「パスワードを忘れた」手順に従うようにユーザーに通知します。彼らはフィールドを変更できます

問題は、devise が既にログインしている間はこれを実行できないことをユーザーに通知するため、ユーザー プロファイルからこれに単純にリンクできないことです。

ログインしているユーザーもこのアクションを実行できるように、忘れたパスワードまたは /users/password/edit メソッドをオーバーライドする方法はありますか?