問題タブ [password-recovery]

ASP.NETPasswordRecoveryコントロールを標準のメンバーシッププロバイダーと組み合わせて使用​​します。ロックアウトされたユーザーは、紛らわしいエラーメッセージを受け取ります

お客様の情報にアクセスできませんでした。もう一度やり直してください。

このメッセージを変更したいのですが、仕方がありません。プロパティXXXFailureText、特にGeneralFailureTextには文字列が含まれています。プロパティを使用して変更できないこの特別な種類のエラーに使用される隠しテキストがあるようです。

私は「パスワードのリセット」フォームを設計および開発しています。このフォームでは、ユーザーがユーザー名/メールアドレスを入力して、アプリケーションがユーザーがクリックして新しいパスワードを入力できるようにメールでリンクを送信します。私の興味はすべてそのリンクについてです、私はこれらの仕事をどのように進めるべきですか（私は意見に基づく答えを探しているのではなく、むしろ業界の慣行、あなたのアプリケーションのために働いたステップを探しています）。

• リンクでブックマークが有効になっていないことを確認してください（同じリンクでパスワードをリセットすることを許可しないでください）

• リンクに有効期限情報も含まれている場合、期限切れのリンクをクリックするとどうなりますか

また、現在の実行計画で直面する可能性のある他の問題を提供することで、私を助けることができます。

インターネット アクセスが保証されていない遠隔地に展開されたシステムがあります。システムの一部にはパスワードが必要ですが、ユーザーはパスワードを忘れて回復オプションを要求する可能性があります。

回復パスワードを生成できるツールを作成しようとしています。パスワードはシステムに固有である必要があり (システムは固有の数値識別子を提供できます)、時間に敏感です。

理想的には、システムは次のように機能します。ユーザーがサポートに電話して、システム ID を提供します。サポートは回復ツールに彼の識別子を入力し、この時間/日の間有効なパスワードを取り戻します。ユーザーが生成されたパスワードを自分のシステムに入力すると、システムはアクセスを許可します。

サポートから提供されたパスワードと比較するために、リモートシステムは同じ方法でパスワードを生成する必要があると思います。これにより、セキュリティ上のリスクが生じる可能性があります。コードには、リバースエンジニアリングによる証明が必要になる場合があります。C# ソリューションを探していますが、他の方法も歓迎します。

This question may be a little abstract, but I was wondering what the best/standard method for implementing password recovery is. I am trying to implement it in my code right now but the method I'm starting to use seems a little roundabout / confusing and I wanted to know what the "Rails way" to do this is. Any suggestions?

私は現在、自分の Web サイトの管理ページに取り組んでおり、ユーザーが元のパスワードを忘れた場合にパスワードを取得または提供する方法を検討し始めている段階に達しました。

私はこれまでこのようなことに対処する必要はありませんでしたが、これに対処する方法はいくつかあるように思われるため、どのソリューションを使用すればよいかわかりません。そこで、経験豊富な開発者に聞いてみようと思いました。「パスワードの取得」に対処するための最良の方法は何ですか

それが役立つ場合、ユーザーが最初に登録するときに、メールアドレスとパスワードを提供する必要があります。これは、salt を使用して暗号化されます。

誰か助けてくれませんか。

「パスワードのリセット」プロセスについてかなりの調査を行ってきました。見つけたチュートリアルの 1 つから、この機能を提供する次のコードをまとめることができました。

パスワードをお忘れですか

パスワードを再設定する

ユーザーに送信するリンクの有効期限を追加したいと思います。Stackoverflow コミュニティや他の多くの投稿を見てきましたが、探していたものを見つけることができませんでした。

誰かが私を助けて、これを達成する方法について少しガイダンスを与えてくれるかどうか疑問に思いました.

どうもありがとう。

パスワードを別のものに変更する必要がuseridあります。usernameencrypted passwordpassword format

asp.net メンバーシップで SQL 経由でパスワードを変更するにはどうすればよいですか?

パスワードリセットオプションを提供できるように、アプリにRailscast＃274を実装しようとしています。パスワードリセットのフォームにメールを入力して、パスワードをリセットするためのリンクが記載されたメールを受信できるようになりました。新しいパスワードを入力して保存しようとすると、問題が発生し始めます。私はで終わったAction Controller:Exception caught。password_resetリンクを記載したメールを自分に送信した後のログの表示は次のとおりです。

password_resetリンクをクリックします。

新しい：passwordと：password_confirmationを追加すると、次のエラーが発生します。

のprofiles_controller.rb：41 show：

これを行う前に、データベースをダンプして実行しrake:db create、次にデータベースをrake:db migrate再シードしました。これは、既存のユーザーにpassword_reset_tokenを与えるスクリプトを実行していないことが原因でしょうか？

更新：含むpassword_resets_controller.rb：

class PasswordResetsController <ApplicationController def new end

とにかく、システム内のユーザー アカウントがパスワードの試行の失敗またはパスワードの回答の試行の失敗によりロックアウトされた後のおかしなタイトル ロック解除プロセスはどのように開始する必要がありますか。現在1をフォローしており、ユーザーはシステムを嫌うことがあります :(

1. ユーザーはpassword reset唯一の方法として要求する必要があります。
2. ユーザーはメールをリクエストできますunlock account link- 古いパスワードで正常にログインした後 (ただし、主にログインできなかったためにここにたどり着きました)
3. あなたが提案するために、このオプションを残しておきます。

上記は、専門家によると私が得た最もばかげたオプションかもしれませんが、私は学ぶためにここにいます. だから、正しい道を示してください。ありがとうございます

パスワードを安全にリセットするための強力なアルゴリズムの開発に取り組んでおり、ユーザー コミュニティからのフィードバックを求めています。これまでに私が思いついたものは次のとおりです（ナンス付きのメールでのアクティベーション/登録/パスワードリセットリンクのベストプラクティスからの助けを借りて）

パスワード リセット プロセスは次のように機能します。ユーザーが「パスワードのリセット リンクをメールで送信する」ことを要求すると...

1. $ソルトを生成する
2. 「パスワードのリセット」リンクを送信したい $email アドレスの入力をユーザーに求めます。
3. $key を取得します (= ユーザーが生まれた都市や SSN#Last4 など、ユーザーのみが知っている秘密のユーザー定義の機密アカウント データ)
4. $ nonce = hash($email . $key) を作成します。
5. テーブルに保存:
   • $nonce (PK)
   • $ソルト
   • $exp_date
6. $hash =hash($salt . $email . $key) を作成します。
7. パスワードをリセットするためのリンク @ URL=...?hash=$hash をユーザーにメールで送信します

ユーザーが送信したリンクをクリックすると、次のフォームが表示されます。

• $メールを入力してください
• $新しいパスワードを入力してください
• $newPassword の確認
• キーフィールドのプロンプト... 例: 「あなたが生まれた都市を入力してください:」 $key を入力してください

ユーザーがこのフォームを送信すると...

1. URL から $hash を取得する
2. $nonce = hash($email . $key) を再作成します
3. $nonce を使用して、テーブルから $salt を取得します (有効期限が切れていない場合)。
4. もし hash($salt . $email . $key) == $hash from URL, then Validation is GOOD!, so we... Update the user's password in the URL
5. そうでない場合、パスワードの変更を拒否します

ノート：

• すべての $email および $key 応答は、混乱を避けるために処理前にトリミングおよび小文字化されます。
• 定期的なメンテナンス タスクの sproc は、テーブルをクリーンに保つために、期限切れのナンスをすべて定期的に削除する必要があります。

どう思いますか？