Effektive Techniken für Passwort Retrieval in der modernen Web-Anwendungen
https://stackoverflow.com/questions/910856
-
06-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir haben auf Web-Anwendung arbeiten, wo in wir traditionelle Web-Anwendungen Funktionalität von Passwortwiederherstellung implementieren müssen. Nach dem Trend gibt es Ansätze, wie ..
- Senden des Kennworts Link auf Benutzer-E-Mail.
- Fragen geheime Frage an den Benutzer für Password Recovery.
- Zurücksetzen des bestehenden Passwort und ein neues Passwort erstellen und es dem Benutzer zu senden. Dies kann auch den Benutzer zwingt das Passwort bei der nächsten Anmeldung zu ändern.
Haben wir eine nicht-traditionelle Technik für Passwort Retrieval-Mechanismus zu implementieren? Welche anderen Ansätze, die Sie haben für diese versucht?
Danke.
Lösung
Es hängt von der Höhe der Sicherheit für Sie anstreben, die Support-Kosten und Benutzerfreundlichkeit betrifft.
Emailing einen Passwort-Reset-Link ist der bevorzugte Ansatz für eine Reihe von Gründen:
-
Supportkosten - Dies ist der größte Faktor aus betriebswirtschaftlicher Sicht. Benutzer vergessen oft sogar ihr Passwort Hinweise oder eine gefälschte Postadresse verwenden oder ihre Benutzername vergessen. All dies sind berechtigte Bedenken, für die Sie Support-Anfragen erhalten könnten. Dies wiederum ein anderes Problem erzeugt, haben Sie die Legitimität des Benutzers zu schaffen, indem sie über die jüngsten Kontoaktivitäten zu fragen und was nicht. Wenn Sie nicht, dass die Höhe der Unterstützung wird eine Menge von unerfahrenen Benutzern zur Verfügung stellen enttäuscht. einen Passwort-Reset-Link per E-Mail mildert diese Bedenken, weil die Benutzer typischerweise eine oder zwei E-Mail-Adressen haben und sie können leicht durch die Bereitstellung ihrer E-Mail-Adresse.
ihren Benutzername / Passwort wiederherstellen
-
Sicherheitsbedenken - Dies ist der größte Faktor aus technischen Sicht. Es gibt verschiedene Bedenken hier, die Sie wiegen. Ein kompromittiert E-Mail-Konto bedeutet, dass der Hacker geht alle die Nutzer Dienste zuzugreifen, die ein Passwort-Reset-Link ermöglichen gemailt werden. Sie können für Mittelweg absetzen, die eine Passwort-Reset-Link an den Benutzer, die dem Benutzer Frage einen Kennworthinweis, wonach fragt wiederum per E-Mail ist es ihnen ihr Passwort zurücksetzen können. Auch hier sollten Sie nie das Kennwort des Benutzers aussetzen in jedem Medium. In der Tat, wenn Sie die Fähigkeit haben, sie ihr Passwort Ihres System zu zeigen, ist schon unsicher, weil es Ihnen, sie sind nicht die Speicherung impliziert einen sicheren Hash wie SHA-1 und einen Entwickler in Ihrem Unternehmen verwenden, kann bei jedem Passwort.
-
Usability - Dies ist der größte Faktor aus der Benutzerperspektive. einen Passwort-Reset-Link per E-Mail benötigt der Benutzer die E-Mail-Adresse gehen und überprüfen, wo die Zeit bedeutet, die Aufgabe zu erreichen, kann bis zu 2 oder sogar 3 Minuten gehen. Ich würde denken jedoch, dass dies keine große Sache ist. Die meisten Benutzer scheinen nicht das kümmern, weil sie das Gefühl, sie im Unrecht sind, und dies ist eine Sicherheitsmaßnahme in ihrem eigenen Interesse. Ich bin nur aus eigener Erfahrung hypothesizing und Nutzer im Allgemeinen möglicherweise anders fühlen. Ich würde die Sicherheit als eine höhere Priorität als die Benutzererfahrung setzen, weil die Benutzer selten, wenn überhaupt, ihre Passwörter abrufen müssen (Benutzer hat für eine lange Zeit nicht angemeldet und vergessen sein Passwort, Benutzer sein Passwort im Browser gespeichert hatten, das neu installiert wurde und einige andere Rand Fälle).
Andere Tipps
Andere Optionen, die ich in der Praxis gesehen würden gehören:
- so dass ein zweites Passwort, wenn etwas schief geht -. So etwas wie der Super-PIN mit Mobiltelefonen verwendet
- eine Datei Token Erstellen von (in der Regel eines PGP-Schlüssel), dass der Benutzer bei der Kontoerstellung herunterladen und speichert sie auf einem USB-Stick, oder sie zur späteren Verwendung archivieren. Wenn es ein Problem gibt der Benutzer den Token laden, was beweist, dass er der „Besitzer“ des Kontos und die Anwendung als der Benutzer lassen das Passwort ändern. Dies kann eine Konstante Token sein, oder eine Datei mit mehreren Token (ähnlich ein Online-Banking-TANs.) - jedes Mal, wenn ein Token verwendet wird, ist es auch für ungültig erklärt
Die obigen Verfahren sind nicht so einfach zu implementieren, aber sehr benutzerfreundlich sind (da über sie nichts Neues gibt es und liegen andere in von Tag zu Tag Situationen).
Meiner Meinung nach ist ein Passwort-Reset-Link des Benutzers E-Mail zu senden ist der beste Weg. Dies ist die Art und Weise Digg es tut, und dies ist die Art, wie ich tun.
Aber bei dieser Methode müssen wir uns auf dem Benutzer angewiesen seine E-Mail in der Lage, zugreifen zu können.
Im Hinblick auf die geheime Frage Methode: mehr als oft nicht, beantworten Sie die geheime Frage ist nicht so geheim, wie wir möchten. Es wäre im besten Interesse unserer Nutzer sein, diese Methode eines „Konto-Hack“ zu blockieren.
Eine Website und deren Administratoren sollten die Klartext-Passwort der Nutzer nicht wissen. Es sollte nur eine Einweg-Hash-Wert des zum Vergleich bei Authentifizierungsereignissen gespeicherte Passwort sein. ein Passwort im Klartext also das Senden sollte keine Option sein.
Persönlich mag ich das Passwort-Reset-Link an den Benutzer gesendet. Denken Sie jedoch daran, dass Link zu verfallen. Außerdem weist die Benutzer per E-Mail der Passwort-Reset-Versuche (kann die gleiche E-Mail als Link zum Zurücksetzen sein), als auch nach der erfolgreichen zurückgesetzt.
Ein weiterer Ansatz für den Reset-Link Passwort sein kann, einen zufälligen Schlüssel zu erstellen, die nicht in dem E-Mail-Link gehen darauf hin, dass der Benutzer eingeben müssen, sobald der Link angeklickt wurde. Dies würde helfen, gegen Leute die E-Mail zu erfassen.
