Mi chiedo quale sia il metodo migliore per creare una funzione di password dimenticata su un sito web. Ho visto un bel po 'là fuori, qui sono alcuni o una combinazione di:Password dimenticata: qual è il metodo migliore per implementare una funzione di password dimenticata?
- passphrase domanda/risposta (1 o più)
- inviare e-mail con la nuova password
- sullo schermo dare nuova password
- conferma tramite e-mail: deve cliccare sul link per ottenere una nuova password pagina
- richiedendo all'utente di inserire una nuova password
Quale combinazione o aggiunta tutti i passaggi aggiungerei ad una funzione di password dimenticata? Mi chiedo come chiedano la nuova password e come finiscono per ottenerla.
Sono operativo sul principal che non è possibile recuperare la password; una nuova password deve essere data/generata.
Modifica Mi piace ciò che Cory ha detto di non visualizzare se il nome utente esiste, ma mi chiedo invece cosa visualizzare. Sto pensando che la metà del problema è che l'utente ha dimenticato quale indirizzo email ha usato, il che mostra una sorta di messaggio "non esiste" è utile. Qualche soluzione?
L'opzione 1 ha anche il vantaggio di non essere suscettibile agli attacchi DoS sull'utente. Ad esempio, qualcuno fa costantemente clic sul link "Reimposta password" nell'opzione 2, in modo che l'utente sia effettivamente escluso dal proprio account. Puoi proteggerti, ma perché preoccuparsi? L'opzione 1 è la strada da percorrere ... –
+1 per la rara istanza di suono, semplice consiglio di sicurezza. Buon lavoro. –
Qualche motivo per cui l'utente non dovrebbe effettuare il login dopo aver impostato una nuova password? – Tommy