問題タブ [reset-password]

ユーザーがパスワードを忘れた場合、より安全なオプションは何かと考えていました

• ランダムに生成された新しいパスワードを電子メール アドレスに送信します (データベース内のすべての電子メール アドレスが機能することが確認されています)。

または

• ユーザーがパスワードをリセットできる特定の期間内に有効期限が切れるリンクを含む電子メールを送信します。

後者が追加のテーブルを使用するという事実を除けば、より安全でより良い方法は何だと思いますか?

質問/回答機能を使用せずに、自分のサイトにパスワードのリセット機能を許可しようとしています (これはmembershipweb.config のエントリで無効になっています)。

ただし、(.NET MVC フレームワークから自動生成されたコントローラー/サービス/プロバイダーを使用して) resetPassword を呼び出すと、エラーがスローされます (入力文字列は正しい形式ではありません)。

パスNothingするか、"answer"(示されているように) プロセス (登録と上記の両方) にハードコーディングしても、エラーは引き続きスローされ、パスワードはリセットされません。

何かご意見は？？

始める前に、 OAuthを使用しない理由は、このプロジェクトで実際に使用すべきものではないと考えているからです。パッケージ化して企業に再販するプラットフォームをターゲットにしているためです。 100％管理できないアカウントを持ちたくありません。他のサービスとの共有ログインにしたくありません。また、人々に google/yahoo の取得を強制したくありません。 /openID/aol/facebook/blogger/wordpress/任意のアカウント。

さて、私が望むのは、ユーザーがパスワードを再設定できるようにする最善の方法です。

私は秘密の質問の概念が嫌いです: あなたはどこの学校に行きましたか? さて、あなたのFacebookページをチェックしましょう。1年生の先生は？気軽に聞いてみましょう。

電子メールでワンタイム パスワードを使用するのは嫌いです。電子メールはいつから安全ですか? 上司が読んでいます。あなたは毎日私にスパムメールを送ります。それはあなたのジャンクビンに入りました。暗号化されて送信されません。

パスワードをリセットするためにパスワードを使用したくありません。これは意味がありません。

これを行うための最善の方法については、ここで本当にアイデアがありません。コミュニティに尋ねてみようと思います。

このpassword_reset チュートリアルに従ったところ、機能するようになりました。しかし、私が変更したいことが気に入らないことがいくつかあります。

1. URLではpassword_resetなくて言ってほしい。reset_passwordsコントローラーの名前を変更して、次のようにルーティングすることで、なんとか達成できましconfig/routes.rbたmap.resources :reset_passwords, :as => 'reset_password', :only => [:index, :create, :edit, :update]

2. メールを入力するフォームのビューが「新規」ではなく「インデックス」になるように変更することでこれを行うことができたのではなくdomain.com/password_reset、ページにリンクする必要があります。password_resetdomain.com/password_reset/new
   

3. ユーザーが で電子メールを送信されたときに、ではなくまたはperishable_tokenのような URL が表示されるようにしたいと思います。 または、少なくとも私はそれをしたいと思いますdomain.com/password_reset/perishable_tokendomain.com/verify_password_reset/perishable_tokendomain.com/password_reset/perishable_token/edit
domain.com/password_reset/perishable_token/verify

3番目のものを機能させる方法がわかりません。

ResetPasswordvb.netまたはc#でメソッドを使用したい場合、パスワードをリセットできず、「提供されたパスワードの回答が間違っています」という例外が発生します。ハッシュとソルトのハッシュシステムとマシンコードが原因だと思います。どうすればこの問題を解決できますか?

SO でパスワードを回復することについては多くの質問がありますが、次の 2 つのいずれかを考慮してパスワードを変更することについてはありません。

1) ユーザーはすでにシステムで認証されています (user/pw または facebook/twitter などのサード パーティ認証を使用)
2) ユーザーは自分の古いパスワードを知っています。

これらの出発点を考えると、ユーザーが自分のパスワードを最小限の手順で変更できるようにするためのベスト プラクティスとは何かについて、2 つの明確な質問があります。

シナリオ (ユーザーは既に認証され、システムにログインしています):
古いパスワードを入力してください: _ __ _ _ _ (1: これを削除できますか)
新しいパスワードを入力してください: _ __ _ __ _
新しいパスワードを もう一度入力してください: _ __ _ _ _ ( 2: これを取り除くことはできますか)

1) ユーザーに古いパスワードを入力させなくても大丈夫ですか? この場合、ユーザーはすでにシステムに認証されていると想定しています。ユーザーにパスワードを再入力させるのは冗長に思えます。これは、セキュリティの高いアプリケーション (バンキングなど) にとって重要であり、ユーザーが無人でセッションを終了すると、この状況に陥ったパスワードを知らなくても、誰かが新しいパスワードを入力できるようになる可能性があることを理解しています。

私が提示している例では、アプリケーションのセキュリティはそれほど高くなく、リスクは低いです。また、第三者認証 (facebook/twitter) を許可しているため、理論的には、他の誰かがマシン上にいて、ユーザーが facebook/twitter のライブ cookie を持っていれば、アカウントに入ることができます。

2) ユーザーに新しいパスワードを 2 回入力させなくても大丈夫ですか。これはちょっと90年代っぽい感じです。現在、人々はパスワードに慣れており、パスワードを予想とは異なる方法で入力する可能性が 5% であっても、2 回入力するのに費やす時間よりも重要ではないようです。その 5% のシナリオでは、最悪の場合、パスワードをリセットする必要があります (または、facebook/twitter でログインしてリセットする必要があります)。現在これを行っていることがわかった Web サイトの 1 つに Quora があります (まだステップ 1 を行っていますが)。他の多くの人が同じことをしているのを見たことがありません。

Active Directoryとは別のサーバーにWebアプリケーションがあり、ユーザーパスワードを変更したい。コードは次のとおりです。

これを開発環境（Active DirectoryとWebアプリケーションが同じサーバー上にある）で実行すると、機能します。しかし、本番環境で実行しようとすると、次のエラーが発生します。

呼び出しのターゲットによって例外がスローされました

私は何が欠けていますか？

ありがとう。

編集：

例外エラーを深く掘り下げることができ、次のようになります。

アクセスが拒否されました。（HRESULTからの例外：0x80070005（E_ACCESSDENIED））

知りたいのですが、pw_resetトークンが電子メールで送信されたら、検証のためにリファラーのアカウントの電子メールアドレスを取得することは可能ですか、それともIPに対して検証するのが最善でしょうか？トークンの有効期限を1時間だけに設定しましたが、動的IPでさえその速度で変更されません。

私が遊んでいるいくつかのコード（非常にWIP）は、改善/提案/批評に開かれています。

前もって感謝します。

OpenAM 9.5.4 と Open DJ 2.4.5 を使用していますが、「リセット時に強制的にパスワードを変更する」という問題が発生しています。

環境をセットアップするために行った手順は次のとおりです。

1) パスワード サービスをデフォルト レルムに追加しました。

• iplanet-am-password-reset-userValidate=uid
• iplanet-am-password-reset-searchFilter=objectclass=person
• iplanet-am-password-reset-baseDN=dc=opensso,dc-java,dc=net
• iplanet-am-password-reset-lockout-duration=0
• iplanet-am-password-reset-max-num-of-questions=5
• iplanet-am-password-reset-question=お気に入りのレストラン
• iplanet-am-password-reset-bindPasswd= * *
• iplanet-am-password-reset-failure-duration=300
• iplanet-am-password-reset-notification=com.sun.identity.password.plugins.EmailPassword
• iplanet-am-password-reset-lockout-attribute-name=inetuserstatus
• iplanet-am-password-reset-lockout-attribute-value=inactive
• iplanet-am-password-reset-lockout-warn-user=4
• iplanet-am-password-reset-bindDN=cn=openssouser,ou=opensso adminusers,dc=opensso,dc=java,dc=net
• iplanet-am-password-reset-lockout-email-address=
• iplanet-am-password-reset-user-personal-question=true RequiredValueValidator=com.sun.identity.sm.RequiredValueValidator
• iplanet-am-password-reset-force-reset=true
• iplanet-am-password-reset-failure-count=5
• iplanet-am-password-reset-failure-lockout-mode=true
• iplanet-am-password-reset-option=com.sun.identity.password.plugins.RandomPasswordGenerator
• iplanet-am-password-reset-enabled=true

2) OpenDJ でパスワード ポリシーを作成しました。

パスワード ポリシーのプロパティを構成する

3) ユーザーのグループにパスワード ポリシーを割り当てるための仮想属性を作成しました。

ユーザー定義の仮想属性のプロパティを構成します

4) ユーザーを作成しました

パスワードのリセット画面で秘密の質問に答えると、パスワードをリセットするためのメールが届きます。ただし、新しいパスワード（または古いパスワード）を使用すると、「認証エラー」が発生します

OpenDJ コントロール パネルでユーザーを確認したところ、予想どおり「pwdReset」属性が「false」から「true」に変更されました。しかし、それを「false」に戻すと、プロパティを認証しますが、パスワードを変更する必要はありません。

他の誰かがこの問題を抱えていますか?