Quên mật khẩu - Làm thế nào để xử lý việc này?


18

Tôi đọc câu trả lời này và thấy một bình luận khăng khăng không gửi mật khẩu qua email:

mật khẩu không thể được lấy qua email, tôi ghét điều đó. Nó có nghĩa là mật khẩu của tôi được lưu trữ trong văn bản đơn giản ở đâu đó. nó chỉ nên được thiết lập lại

Điều này đặt ra cho tôi câu hỏi về việc xử lý tùy chọn Quên mật khẩu?

Bằng mọi giá, mật khẩu thô phải được hiển thị trong bất kỳ giao diện người dùng nào để người dùng có thể đọc được. Vậy đâu là cách để xử lý "Quên mật khẩu"


Tôi chỉ mất 15 phút để giải thích tính năng quên mật khẩu PHPBB.
Peter Turner

Bản sao có thể có của quá trình đặt lại Mật khẩu
gnat

1
@gnat Bạn đã có cơ hội kiểm tra cái nào là cũ nhất trong hai?
Gopi

1
@TechJerk tuổi của các câu hỏi không quan trọng như được giải thích ở đây
gnat

Câu trả lời:


35

Một thiết kế ứng dụng tốt sẽ không thể khôi phục mật khẩu người dùng một cách rõ ràng. Điều này là do nó thường được lưu trữ sau khi nó được chạy qua một số loại băm là hoạt động một chiều.

Cách tốt nhất để xử lý mật khẩu bị mất là thực hiện đặt lại, gửi email đến tài khoản người dùng một liên kết với tham số được tạo để xác định đây là mật khẩu đặt lại hợp lệ cho tài khoản được đề cập. Tại thời điểm này, họ có thể thiết lập một mật khẩu mới.

Điều này không giả sử bạn có một địa chỉ email người dùng trong hồ sơ.


Có những "thực tiễn tốt nhất" bổ sung, mặc dù không quan trọng (như không lưu trữ mật khẩu ở nơi đầu tiên), nên được áp dụng nếu thời gian cho phép, bao gồm cả mã thông báo truy cập tạm thời hết hạn vào một số sự kiện và theo thời gian (để tài khoản của ai đó không bị xâm phạm nếu hộp thư đến của anh ấy).
Steven

7

Bạn không nên lưu trữ mật khẩu chính của người dùng dưới dạng bản rõ, nhưng bạn CÓ THỂ lưu trữ mật khẩu tạm thời dưới dạng bản rõ, tức là

người dùng đặt lại mật khẩu -> mật khẩu tạm thời được tạo -> mật khẩu tạm thời được gửi qua email -> người dùng buộc phải thay đổi mật khẩu ở lần đăng nhập tiếp theo (có thể mật khẩu mới không thể là mật khẩu tạm thời)


2
Tôi đã làm điều này trong một số trang web. Mặc dù bạn có thể lập luận rằng một người rình mò thư có thể lấy được mật khẩu, họ cũng có thể nhận được bất kỳ mã thông báo tạm thời nào khác, v.v. bạn sẽ gửi email. Cách tiếp cận này đơn giản hơn cho người dùng (họ có thể sao chép và dán hoặc thậm chí nhập mật khẩu tạm thời) và không bị ảnh hưởng bảo mật.
Kate Gregory

Trừ khi ai đó đang sử dụng cách an toàn để kết nối với máy chủ thư (tức là thư web qua HTTPS hoặc POP3 qua TLS), việc liên lạc như vậy có thể dễ dàng bị đánh hơi. Trong trường hợp đó, một số "haX0r" có thể dễ dàng đăng nhập vào tài khoản của người dùng khác. Đó là lý do tại sao nó là ý tưởng tồi. Đặt lại liên kết nên được gửi như Chris gợi ý và câu hỏi bảo mật kèm theo nên được hỏi trước khi thực sự cho phép người dùng thay đổi mật khẩu của mình. Vẫn không an toàn 100% (vì nhiều lần câu trả lời cho các câu hỏi bảo mật như vậy có thể dễ dàng đoán ra), nhưng tôi không thể thấy bất kỳ giải pháp nào tốt hơn.
Paweł Dyda

2
@Pawel Dyda Một liên kết đặt lại cũng có thể bị đánh hơi, nếu email của bạn bị đánh hơi tôi nghĩ rằng có một mật khẩu tạm thời trong email của bạn là điều bạn lo lắng nhất.
Viper_Sb

Đó là lý do tại sao tôi viết về câu hỏi bảo mật.
Paweł Dyda

5

Nhận xét chống lại việc gửi mật khẩu gốc trong email, không gửi bất cứ điều gì trong email. Nếu tổ chức có thể gửi mật khẩu gốc, điều đó có nghĩa là họ có mật khẩu và đó là một vấn đề bảo mật. Người bình luận đã không tranh cãi về việc gửi mật khẩu qua email, bởi vì điều đó khá cần thiết trong hầu hết các trường hợp.

Cách thích hợp là gán một mật khẩu mới có thể sử dụng được một lần, vì bất kỳ lý do gì. Có lẽ nó đã được hệ thống đánh dấu hết hạn, có lẽ nó chỉ đăng nhập vào một trang để thay đổi mật khẩu được tạo động một lần và chỉ một lần, bất cứ điều gì.


4

Điều tôi thích nhất là ứng dụng gửi email cho người dùng trên địa chỉ email đã đăng ký với liên kết một lần có hiệu lực trong X giờ cung cấp trang "Thay đổi mật khẩu".

Sau đó, người dùng có thể đặt mật khẩu theo ý muốn mà không gặp rủi ro khi đặt nó vào email.


4

Nhà cung cấp thẻ tín dụng của tôi có tùy chọn "quên mật khẩu" hỏi bạn một số câu hỏi bảo mật (bản thân nó không an toàn lắm nhưng rất nhiều ngân hàng làm điều đó) và sau đó tạo mã mới và cung cấp cho bạn một nửa trên màn hình và gửi email cho nửa sau bạn. Bằng cách đó, bạn không thể phá tài khoản mà không truy cập vào cả trang web và địa chỉ email.

Tôi đã hỏi một chút về điều này từ góc độ khả năng sử dụng một thời gian trước.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.