what is the most secure method to allow a user to reset password
允许网站用户重置密码的最安全方法是什么?我知道你可以给他们的电子邮件发送一个独特的网址,但是还有其他的技术吗?假设用户没有回忆起当前密码。
- 最安全?某种身份证或生物特征值。
- @我不知道道尔是什么意思,但我认为这是冒犯性的。
- @Leosliterak有点笑话,抱歉,en.wikipedia.org/wiki/software_protection_dongle
- @我明白了。我的字典没有查到,所以我觉得这是一种侮辱。对不起的。
- stackoverflow.com/questions/910856/…
- 重置忘记的用户密码的最佳做法可能重复
例如
发送一些代码到短信息(你有的东西-电话)
让相关人员确认您的身份(社交网络、信任网络)/您的身份/
用普通邮件发送代码/
现场接线员电话(你知道的)
但其中一些人容易受到社会工程攻击。最安全的是当你知道一些事情,你有一些事情,你是一些事情。但这很难实现。
建议的方法是发送一个具有有限时间哈希的URL,该URL在15-30分钟内处于活动状态,并且在更改密码时被撤销。
如果信息真的是安全的,那么您可能会想看看银行如何处理密码重置,这通常涉及电话呼叫和电话银行密码!
在注册过程中,总会有安全问题被问到。您可以使用它重置密码。你也可以阅读这篇旧文章。
- 但用户必须同时提供问题/答案,因为典型问题很容易猜测。
- 安全问题是一种古老的技术,而不是安全问题。请阅读这里的第二个答案,原因是:stackoverflow.com/questions/2734367/…