Was ist der sicherste Weg, vergessene Passwörter / Passwort-Resets zu behandeln? Soll ich das Passwort an den Benutzer senden? Wenn ja, zwingen Sie sie dann, es zurückzusetzen? Oder lässt du sie sofort zurücksetzen (ohne eine E-Mail zu senden) und benötigst weitere Informationen, um zu verifizieren, dass es sich um sie handelt? Oder gibt es eine bessere Methode?
Sie können das Passwort nicht an den Benutzer senden, weil Sie es nicht wissen. Du hast es "hashed" von etwas wie PBKDF2 oder bcrypt für die Speicherung anwenden, oder?
Wenn Sie das Passwort zurücksetzen, ohne es mit dem Kontoinhaber zu bestätigen, kann ein Angreifer dem Inhaber den Zugriff auf sein Konto verweigern, zumindest bis er seine E-Mail-Adresse überprüft, indem er die E-Mail-Adresse des Opfers anfordert. p>
Eine Methode, die für viele Anwendungen sicher genug ist, besteht darin, einen Link an den Kontoinhaber zu senden, der eine große, zufällig generierte Nummer enthält. Dieser Token sollte nur für eine begrenzte Zeit gültig sein. Wenn der Besitzer sein Passwort zurücksetzen möchte, klickt er auf den Link und dies authentifiziert sie als Kontoinhaber. Der Kontoinhaber kann dann ein neues Passwort festlegen.
Sie sollten keine Passwörter per E-Mail senden. Hier ist ein Schritt für Schritt Prozess, den ich verwendet habe:
Bis das neue Passwort gesetzt ist, sollte das alte Passwort aktiv bleiben. Vergessen Sie nicht, die Passwörter zu hacken und zu salzen!
Ich nehme an, Sie werden es programmatisch machen? Oder ist es eine Frage für Server Fault?
Eine Möglichkeit besteht darin, einen Link zum E-Mail-Konto des Benutzers zu senden. Er / sie klickt auf den Link und wird zu Ihrem sicheren Webformular weitergeleitet, wo sie das Passwort zurücksetzen.
Senden Sie das Passwort NICHT an den Benutzer
Tags und Links security passwords password-protection