問題タブ [password-recovery]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
web-applications - 最新のWebアプリケーションでパスワードを取得するための効果的な手法
私たちは、パスワード取得の従来のWebアプリ機能を実装する必要があるWebアプリケーションに取り組んできました。トレンドによると、次のようなアプローチがあります。
- ユーザーの電子メールへのパスワードリセットリンクの送信。
- パスワード回復のためにユーザーに秘密の質問をする。
- 既存のパスワードをリセットし、新しいパスワードを作成してユーザーに送信します。これにより、ユーザーは次回のログオン時にパスワードを変更しなければならない場合もあります。
パスワード取得メカニズムを実装するための従来とは異なる手法はありますか?このために他にどのようなアプローチを試しましたか?
ありがとう。
database - パスワードを忘れた場合、PostgreSQL データベースに侵入する方法はありますか?
PostgreSQL データベースを持っているクライアントがいますが、データベースのセットアップ時に使用したパスワードを覚えていません。彼のデータベースを吹き飛ばして最初からやり直す必要がないように、その情報を回復する方法はありますか?
データベースは PC 上で実行されています。
asp.net - ASP.NET パスワードのリセット - セキュリティの問題?
この問題に関するさまざまな質問を見てきましたが、まだ尋ねられていない質問がいくつかあります。ユーザーがパスワードを忘れた場合、メール アドレスだけでパスワードをリセットできるようにしたいと思います (つまり、セキュリティの質問/回答はありません)。パスワードはソルトハッシュとして保存されるため、復元することはできません。代わりに、ユーザーがリセットを要求したことを確認した後、新しいパスワードを入力してもらいたいだけです。
言及されている一般的な方法は、単純に次のとおりです。
1) ランダムな Guid/暗号的に強力な乱数を作成する
2) 乱数を含む一意の URL をユーザーの電子メール アドレスに送信します。
3) 確認されると、ユーザーはパスワードの変更を求められます
しかし、これはMITM攻撃にさらされていませんか? 一時的なパスワードをインターネット経由で電子メールに送信することが安全でない場合、それを行うことと、攻撃者がナビゲートできる一意の URL を単に送信することの違いは何ですか? このシステムをより安全にする重要なステップをどこかで見逃していませんか (または、パスワードをリセットするためのより良い方法はありますか)?
ありがとう
passwords - パスワード回復のベストプラクティスを実装する
Webアプリケーションにパスワード回復を実装したい。
秘密の質問は使わないようにしたいと思います。
パスワードをメールで送ることもできますが、危険だと思います。
新しい一時的なランダムパスワードを生成して電子メールで送信できるかもしれませんが、上記の点と同じくらい危険だと思います。
たとえばhttp://example.com/token=xxxxのように電子メールでURLを送信できますか。 ここで、xxxxはユーザーに関連付けられたランダムトークンです。したがって、ユーザーがそのURLに移動すると、パスワードをリセットできます。
asp.net - ユーザーに送信される電子メールをカスタマイズする方法は?
私は現在、ASP.NET で基本的なメンバーシップ システムをセットアップしており、
パスワードの回復に対処するには、どれがうまく機能しますが、「件名」や電子メールの実際の本文の内容を変更するなど、電子メールをどのようにカスタマイズしますか?
rest - RESTfulパスワードリセット
パスワードをリセットするためのRESTfulリソースを構築する適切な方法は何ですか?
このリソースは、パスワードを紛失または忘れた人のためのパスワードリセッタとして使用することを目的としています。古いパスワードを無効にし、パスワードを電子メールで送信します。
私が持っている2つのオプションは次のとおりです。
また...
リクエストはPOSTである必要があります。適切な名前を選択したことに自信がありません。また、user_nameをURLまたはリクエスト本文のどちらで渡す必要があるのかわかりません。
asp.net - ASP PasswordRecovery が機能しない
ページに ASP PasswordRecovery モジュールがあり、コードは次のようになります。
しかし、フォームを送信すると、「あなたの情報にアクセスできませんでした。もう一度お試しください」というメッセージが表示されます。
私はこの質問を見て、これらの属性を私の web.config に追加するようにしました:
アプリは 1 日を通して定期的にメールを送信するため、メールは正常に機能しています。しかし、何らかの理由で回復メールが送信されません。
関連する web.config セクションは次のとおりです。
更新:「SendingMail」イベントを処理する関数を追加しました:
この関数にブレーク ポイントを追加しましたが、到達することはありません。上記のエラー メッセージがアプリに表示されるだけです。何が問題なのかをデバッグする他の方法はありますか?
c# - ASP.NET メンバーシップ プロバイダー - パスワードのリセット機能 - 電子メールの確認とパスワードの変更
次の機能のソリューション (サンプル コード) を持っている人はいますか?
- randomGuid/暗号的に強力な乱数を作成する
- 乱数を含む一意の URL をユーザーのメール アドレスに送信します。
- 確認すると、ユーザーはパスワードの変更を求められます
私のプロバイダーは現在、次のようにパラメーター化されています。
このタイプの手順に伴うセキュリティの問題は、以前にここで説明されています。