問題タブ [password-recovery]

新しい asp.net 4.0 Web サイトがあります。パスワード回復コントロールを追加しました。パスワードを忘れた場合のページに移動し、メール アドレスを入力すると、新しいパスワードが記載されたメールが届きます。問題は、新しいパスワードが機能しないことです! ログイン ページに移動し、メール アドレスと新しいパスワードを入力します。コピー アンド ペーストを試みました。また、タイプの大文字と小文字に注意しながら、パスワードを手動で非常に慎重に入力しました。「ログインに失敗しました。もう一度お試しください」というメッセージが表示されます。イベントログには何もありません。

何か案は？

以下のページコードを貼り付けました。

私はasp.net 4.0 Webサイトを持っており、パスワードを忘れたフォームにPasswordRecoveryコントロールを使用しています。サイトをローカルで実行すると、正常に動作し、電子メールが送信されます。ただし、vps からサイトを実行すると、電子メールを送信しようとするとエラー メッセージが表示されます。サーバーのイベント ログには何もありません。

私の PasswordRecovery aspx コードは次のとおりです。

私の web.config メール設定は次のとおりです。

SQL Server Express インスタンスに対して SQL Profiler を実行したところ、 への呼び出しで SQL Server から例外がスローされていることがわかりましたdbo.aspnet_Membership_GetUserByName。DateTimePasswordRecovery が秒の小数点以下 7 桁のパラメーターを渡しているため、型変換の問題があります。小数点以下 3 桁のストアド プロシージャを手動で実行すると、動作します。サーバーとラップトップでパラメーターの精度DateTimeが異なる理由を知っている人はいますか?

電子メールで送信されたリセット パスワード キーの有効期限に関する基準は何ですか?

私のアプリケーションは、URL に追加される 30 文字の英数字キーを生成します: http://site.com/reset/keygoeshere

ユーザーがパスワードをリセットすると、キーはユーザーのアカウントから削除されます。

This questionは期限切れのキーについて語っていますが、別のユーザーは、電子メールアカウントが侵害された場合、明らかに新しいリセットキーを簡単に要求できると述べています.

このアプローチの主な潜在的な脆弱性は、誰かがリセットキーをブルートフォースしようとする可能性があり、キーがどのアカウントに属しているかわからなくても、誰かのパスワードを変更できることだと思います.

たとえば、Facebook から 3 日前に送信されたリセット リンクをクリックしたところ、まだ機能していました。

標準的な慣行として、パスワード リセット キーの有効期限は必要ですか? もしそうなら、どのくらいの期間鍵を「新鮮」なままにしておくべきですか?

おそらく Delphi C++ Builder で記述され、AbsoluteDB が組み込まれた、かなり古いデスクトップ アプリケーションが提供されました。

Swing または Flex/Air を使用して新しいバージョンを作成する必要がありますが、その前に DB の正確なスキーマを確認する必要があります。

残念ながら、DB はパスワードで保護されていました。このアプリを書いたプログラマーはずっと前に会社を辞めました。

とにかくこのパスワードを回復する方法はありますか?

問題 :- テーブルの構成: CompanyID、CompanyName、CompanyPwd、CompanyLogo、Email

私が必要ですForgotYourPassword Code：

Vb.net を使用して会社の電子メールに電子メールを送信します。

パスワードのリセットに失敗しました: スーパー管理者はパスワード リマインダーを要求できません。別のスーパー管理者に連絡するか、別の方法を使用してください。

上記のエラー メッセージは、フロントエンド ページで通常のユーザー パスワードをリセットしようとしたときに表示されました。ユーザーが私の joomla 1.7 サイトのスーパー管理者または管理者ではなく、通常の登録ユーザーであることを確認しました。

高度なthx！

RailsでDevise認証gemを使用しています。

devise.en.yml からのメッセージを表示する方法:

サイトのルートにリダイレクトされる代わりに、パスワード回復電子メールが送信された後?

アップデート：

devise_controller.rb で興味深いコードを見つけました。

ブレークポイントを設定すると、正しい行が呼び出され、:send_instructionsがnoticeに割り当てられ、 set_flash_message が呼び出されることが示されますが、すぐにルート パスにリダイレクトされるため、これらすべての結果を確認できません。

Railsで認証ジェムを考案します。

「パスワードを忘れた」リンクによるパスワード変更後の自動ログインを防ぐにはどうすればよいですか？

理想的には、「新しいパスワードが保存されました」というメッセージが表示されたページを表示すると便利です。

The "done" way of doing password resets seems to be the following:

1. Generate a temporary token (zs8Abn27)
2. Store token in a database along with an expiry time
3. Email token to the user
4. User goes to /password_reset?t=zs8Abn27
5. Token is checked against database for validity
6. If valid user gets a new password which is stored in your database (salted and bcrypted, of course)

My question is if a hacker gets read/write access to your database wouldn't they just be able to create their own tokens, and gain access that way? Even if they just had read access they could use the tokens they can see to gain temporary access.

For the record this is entirely conceptual, I'm just curious how you could make a feature like this secure.

SQL Server 2008 (R2 ではなく、通常の 2008) でデータベース ユーザーのパスワードを決定する必要がある状況があります。これはネイティブの SQL Server アカウントであり、パスワードの制限やポリシーは割り当てられていません。私はすでに SQL Server で完全な sysadmin アクセス権を持っています。通常の状況では、このユーザー (ユーザーではないsa) のパスワードを既知の値にリセットするだけですが、アカウントはさまざまなプロセスにそのまま使用され、変更できません。残念ながら、既存のパスワードはどこにも文書化されておらず、誰もそれが何であるかを知りません.

SQL Server 2000 と SQL Server 2005 でこれを行うさまざまな方法を見つけましたが、いずれも SQL Server 2008 では機能しないようです。注意してください。ユーザーは実際にアクティブであり、実際にはその資格情報は実際にはSQL Server Management Studio では、パスワードを取得する必要がある SQL Server ユーザーでログインできます。つまり、アカウントが適切であることがわかります。パスワードが何であるかを知る必要があるだけです！:P

どうもありがとう！