忘了密码：什么是最好的方法实施一个忘了密码功能？

题

我想知道什么是最好的方法是创建一个忘了密码功能的网站上。我见过不少那里，这里有几个或组合：

什么样的组合的或额外的步骤将添加到忘记密码的功能？我想知道他们怎么要求的新的密码和如何，他们最终得到它。

我工作上的主要密码无法被检索;一个新的密码必须给予/产生的。

编辑我喜欢什么科里所述的关于未显示如果用户名的存在，但我却不知道这是做什么的显示器而不是。我想一半的问题是，用户忘了它的电子邮件地址，他们使用，这显示某种形式的"不存在"消息是有用的。任何解决方案？

解决方案

选择1是容易得多。

其他提示

几个重要的安全关切的问题：

一个密码问题的回答实际上降低安全，因为它通常成为最薄弱的环节的过程。它往往更容易猜测一个人的回答比它是一个密码，特别是如果问题不是仔细选择的。
假设的电子邮件作为用户名在你的体系(其一般建议由于各种原因)，响应一个密码重置要求不应该说明是否有效的帐户被发现。它应该只是国家，一个令请求的电子邮件已经发送给所提供的地址。为什么？响应，指示一电子邮件不/不存在允许一个黑客收获的列表用户的帐户提交的多个密码要求(通常通过HTTP proxy像打饱嗝套房)，并注意是否是电子邮件被发现。保护从登录收获必须确保没有登录/认证有关的职能提供的任何指示，当一个有效的用户的电子邮件已经进入一个登录/传递重置的形式。

更多的背景下，结帐网络应用程序的黑客手册.这是一个很好的阅读于创造安全的认证模型。

编辑:关于这个问题在你的编辑-我建议：

"密码已经请求的电子邮件发送到该地址你提供的。如果电子邮件没有到达不久，请检查你的垃圾邮件。如果没有电子邮件到达的，那么没有帐户存在与你的电子邮件提供。"

有一个贸易正在做出在此之间便于使用和安全。你必须平衡这个基础上上下文是安全的重要足够你和你的用户证明这种不便？

发送电子邮件新的密码。

强制更改密码当他们到达时和关键的新的密码。

这确保人想要密码会是仅仅取得的帐户。

如果电子邮件闻，有人可能得到的帐户(的过程)，但真正的缔约方将会发现这个立即(作为他们的密码你只送他们不工作)。

还发送确认的密码变化的用户。

如果有人获得新的密码，然后一个电子邮件说"感谢名单更改密码"，他们要是感到困惑和会跟管理员，如果他们没有做到这一点。

使用电子邮件核查/密码重置链接会给你更好的安全。如果你看看周围，这是大多数网站这样做，人们相当使用这种核查，所以我建议使用这种类型的认证。

我会认为(gbrandt的)备选案文2将是一个伟大的方法，如果是合并与一些个人的信息你已经有的用户。i。电子的出生日期。

当用户请求一个新的密码(reset)通过进入他的电子邮件地址，他也已经进入一个正确的出生日期(或别的东西)之前的密码复位和一个新的是通过电子邮件发送给用户。

只有那些知道他可能惹恼他通过重置他的密码！它不是一个陌生人或一个机器人

在5或7坏的电子邮件地址和出生日期组合，用户通过电子邮件发送，他的密码已经被请求复位和已经失败，因为不正确的凭据。然后密码重置该帐户是暂停24小时或者任何所需的时间。

(如果有太多的用户接触的管理，关于这个电子邮件，他就会知道有人试图恶意获得信息，从你的网站/应用程序)

你们怎么想的？

选项1。是不一个好主意，如通常他变得很容易猜测通过其他人。莎拉*佩林的个人电子邮件(Yahoo我认为)是黑客攻击以这种方式通过第三方。

其他选项是更好地和以前的职位概述的详细说明。

这个想法我在想是，签字的数据的链接发送给用户。然后，当用户的点击链接的服务器接收到呼叫，服务器也得到加密的一部分并可以验证的数据是不变。

我已经实施了一JAVA项目，为此使用的情况。它是在想，开放源。它回答了你的问题完全...实施。

作为 链接，电子邮件 -它产生的链接，再加上证明，它在使用。

那里是解释的一切(如果缺少的东西-让我知道...)

这是客户网络的应用程序，使用验证流程，与自述的所有解释。它会指引你的执行情况： https://github.com/OhadR/oAuth2-sample/tree/master/authentication-flows

许可以下： CC-BY-SA 和归因