Sichern temporäre Passwörter per E-Mail an Benutzer gesendet?

StackOverflow https://stackoverflow.com/questions/1625976

  •  06-07-2019
  •  | 
  •  

Frage

Ich habe eine einfache Web-Anwendung eingerichtet, in denen Administratoren Benutzer erstellen kann. Benutzer erstellen Sie sich nicht. Alle ein Admin tun muss, ist geben Sie einen Benutzernamen und ein E-Mail und ein temporäres Passwort an den Benutzer gesendet wird, für sie anmelden, um zu. Diese E-Mail wird im Textformat gesendet. Wenn der Benutzer zum ersten Mal anmeldet, sind sie verpflichtet, ihr Passwort zu ändern und eine Sicherheitsfrage und Antwort geben. Der Benutzer hat offensichtlich ihr temporäres Passwort kennen, um zum ersten Mal anmelden, und das ist der einzige Weg, ich kenne sie wissen zu lassen (per E-Mail). Die andere Option wäre der Administrator zu haben, um die Benutzer anrufen und ihnen sagt, über das Telefon oder persönlich ihr temporäres Passwort, aber dies ist nicht praktikabel. Wie konnte ich eine Situation wie diese?

Griff
War es hilfreich?

Lösung

ich verwenden in der Regel eine temporäre URL basiert auf einem Datensatz laden am hinteren Ende. Im Wesentlichen erstellen Sie einen Datensatz laden und einen Hash erzeugen auf einige Informationen basieren vielleicht der Benutzer E-Mail-Adresse, einen Zeitstempel und einen Zufallswert. Lagern Sie den Hash als Teil des Datensatz laden und sie dann mit dem Hash als Parameter eine URL senden.

Wenn sie auf den Link klicken Lookup die Einladung und bestätigen, dass es existiert und wurde bisher nicht genutzt -. Dann lassen Sie ihr Passwort einzurichten und entkräften die Einladung

Es wird von der Notwendigkeit befreien, jede Art von Passwort zu senden und Sie können einen Ablauf auf Ihrer Einladung Datensätze gesetzt, wenn Sie auch wollen.

Andere Tipps

Das Szenario, das Sie beschreiben, ist sehr common- ein temporäres Passwort per E-Mail und erfordert es bei der ersten Anmeldung geändert werden. Es sei denn, Sie ein spezielles Problem mit diesem Modell haben sehe ich keinen Grund, es nicht zu benutzen. Ein Admin Anruf Benutzer zu haben, kann erhalten complicated- ich dies unter allen Umständen vermeiden würde.

Sie können eine benutzerdefinierte URL mit einem Passwort und Benutzer-Hash als Argument erzeugen, wo der Benutzer sich anmelden muss. Der Hash wird schwierig sein, abzurufen, wenn der Angreifer die Information nicht haben

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top