允许用户重置密码的最安全方法是什么

what is the most secure method to allow a user to reset password

允许网站用户重置密码的最安全方法是什么?我知道你可以给他们的电子邮件发送一个独特的网址,但是还有其他的技术吗?假设用户没有回忆起当前密码。


例如

  • 发送一些代码到短信息(你有的东西-电话)
  • 让相关人员确认您的身份(社交网络、信任网络)/您的身份/
  • 用普通邮件发送代码/
  • 现场接线员电话(你知道的)
  • 但其中一些人容易受到社会工程攻击。最安全的是当你知道一些事情,你有一些事情,你是一些事情。但这很难实现。


    建议的方法是发送一个具有有限时间哈希的URL,该URL在15-30分钟内处于活动状态,并且在更改密码时被撤销。

    如果信息真的是安全的,那么您可能会想看看银行如何处理密码重置,这通常涉及电话呼叫和电话银行密码!


    在注册过程中,总会有安全问题被问到。您可以使用它重置密码。你也可以阅读这篇旧文章。