“Parolamı Unuttum” - Bu işlem nasıl yapılır?

18

Bu yanıtı okudum ve e-posta ile şifre göndermemede ısrar eden bir yorum buldum:

şifreler e-posta ile alınmamalıdır, bundan nefret ediyorum. Bu, şifremin bir yerde düz metin olarak saklandığı anlamına gelir. yalnızca sıfırlanmalıdır.

Bu bana Şifremi Unuttum seçeneğini kullanma sorununu gündeme getiriyor.

Her ne pahasına olursa olsun ham şifre herhangi bir kullanıcı arayüzünde görüntülenmelidir, böylece kullanıcı onu okuyabilir. Peki "Şifremi Unuttum" ile başa çıkmanın yolu ne olurdu

— Gopi
kaynak

Ben sadece PHPBB unuttum şifre özelliğini açıklamak için 15 dakika geçirdim.

— Peter Turner

Şifre sıfırlama işleminin

— gnat

1

@gnat İkisinden en eskisinin hangisi olduğunu kontrol etme şansınız oldu mu?

— Gopi

1

@TechJerk Soruların yaşı burada açıklandığı gibi

— gnat

35

İyi bir uygulama tasarımı, kullanıcı parolasını açıkça kurtaramaz. Bunun nedeni, genellikle tek yönlü bir işlem olan bir tür karma işleminden geçirildikten sonra depolanmasıdır.

Kayıp şifreyi işlemenin en iyi yolu, bir sıfırlama gerçekleştirmektir, kullanıcı hesabına, söz konusu hesap için geçerli bir şifre sıfırlama olarak tanımlanan, oluşturulmuş bir parametreye sahip bir bağlantı içeren bir e-posta gönderin. Bu noktada yeni bir şifre belirleyebilirler.

Bu, dosyada bir kullanıcı e-posta adresiniz olduğunu varsayar.

— Chris
kaynak

Kritik olmasa da (şifreleri ilk etapta saklamamak gibi), belirli olaylarda ve zaman içinde geçici erişim belirtecinin süresinin dolması da dahil olmak üzere zamanın uygun olması gereken ek "en iyi uygulamalar" vardır (böylece birinin hesabı gelen kutusu varsa ödün verilmez).

— Steven

7

Kullanıcıların ana parolasını düz metin olarak saklamamanız gerekir, ancak geçici bir parolayı düz metin olarak saklayabilirsiniz;

kullanıcı şifreyi sıfırlar -> geçici şifre oluşturulur -> geçici şifre e-posta ile gönderilir -> kullanıcı bir sonraki girişte şifreyi değiştirmek zorunda kalır (yeni şifre belki geçici şifre olamaz)

— Viper_Sb
kaynak

2

Bunu birkaç sitede yaptım. Bir posta gözetmeninin parolayı alabileceğini iddia edebilirken, e-postayla gönderebileceğiniz diğer geçici jetonları da alabilirsiniz. Bu yaklaşım kullanıcı için daha basittir (geçici şifreyi kopyalayıp yapıştırabilir veya hatta yazabilir) ve bir güvenlik isabeti almaz.

— Kate Gregory

Birisi posta sunucusuna bağlanmak için güvenli bir yol kullanmıyorsa (örn. TLT üzerinden HTTPS veya POP3 üzerinden web postası), bu iletişim kolayca koklanabilir. Bu durumda, bazı "haX0r" kolayca diğer kullanıcının hesabına giriş yapabilir. Bu yüzden kötü bir fikir. Chris'in önerdiği gibi sıfırlama bağlantısı gönderilmeli ve gerçekte kullanıcının şifresini değiştirmesine izin verilmeden önce eşlik eden güvenlik sorusu sorulmalıdır. Hala% 100 güvenli değil (bu tür güvenlik sorularına birçok kez cevaplar kolayca tahmin edilebilir), ancak daha iyi bir çözüm göremiyorum.

— Paweł Dyda

2

@Pawel Dyda Bir sıfırlama bağlantısı da koklanabilir, e-postanız koklanıyorsa, e-postanızda geçici bir parolaya sahip olmanın endişelerinizin en az olduğunu düşünüyorum.

— Viper_Sb

Bu yüzden güvenlik sorusu hakkında yazdım.

— Paweł Dyda

5

Yorum, orijinal şifreyi e-posta ile göndermeye karşıdır, e-posta ile hiçbir şey göndermez. Kurum orijinal şifreyi gönderebiliyorsa, bu şifreye sahip olduğu anlamına gelir ve bu bir güvenlik problemidir. Yorum yapan kişi e-posta yoluyla şifre göndermeye karşı tartışmıyordu, çünkü bu çoğu durumda oldukça gerekli.

Doğru yol, herhangi bir nedenle, bir kez kullanılabilecek yeni bir şifre atamaktır. Belki de sistem tarafından süresi dolmuş olarak işaretlenmiştir, belki de dinamik olarak oluşturulan şifreyi değiştirmek için bir sayfaya giriş yapar, her neyse.

— David Thornley
kaynak

4

En çok sevdiğim şey, uygulamanın kayıtlı e-posta adresindeki kullanıcıya, "Şifreyi değiştir" sayfası sağlayan X saat boyunca geçerli olan tek seferlik bir bağlantı içeren bir e-posta göndermesidir.

Kullanıcı daha sonra bir e-postaya koyma riski olmadan şifreyi istediği gibi ayarlayabilir.

4

Kredi kartı sağlayıcımın size bazı güvenlik soruları soran bir "unutulmuş şifre" seçeneği var (bu, kendi başına son derece güvenli değil, ancak birçok banka bunu yapıyor) ve sonra yeni bir kod oluşturur ve ekranın yarısını verir ve ikinci yarıyı e-posta ile gönderir. sen. Bu şekilde, hem web sayfasına hem de e-posta adresine erişmeden hesabı kıramazsınız.

Bu konuyu bir süre önce kullanılabilirlik perspektifinden biraz sordum .

— glenatron
kaynak