« Mot de passe oublié » - Comment gérer cette situation?
-
22-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je lis cette réponse et a trouvé un commentaire insistant sur le fait de ne pas envoyer le mot de passe par email:
mots de passe ne doit pas pouvoir être récupéré par e-mail, je déteste ça. Cela signifie que mon mot de passe est stocké dans un endroit texte brut. il doit être remis à zéro uniquement.
Cela me pose la question de la manipulation option Mot de passe oublié?
A tout prix le mot de passe brut doit être affiché dans une interface utilisateur afin que l'utilisateur sera en mesure de le lire. Alors quelle serait la façon de gérer « Mot de passe oublié »
La solution
Une bonne conception de l'application ne sera pas en mesure de récupérer explicitement un mot de passe de l'utilisateur. En effet, il est généralement stocké après qu'il est exécuté par une sorte de hachage qui est une opération à sens unique.
La meilleure façon de gérer le mot de passe perdu est d'effectuer une réinitialisation, courrier électronique aux utilisateurs compte un lien avec un paramètre généré qui identifie sur clouée cela comme une réinitialisation de mot de passe valide pour le compte en question. A ce stade, ils peuvent définir un nouveau mot de passe.
Cela ne suppose que vous avez une adresse e-mail des utilisateurs dans le dossier.
Autres conseils
Vous ne devez pas stocker les utilisateurs mot de passe principal en texte brut, mais vous pouvez stocker un mot de passe temporaire en tant que texte brut, i.e.
utilisateur remet à zéro le mot de passe -> Mot de passe temporaire est créé -> Mot de passe temporaire est envoyé par e-mail -> utilisateur est obligé de changer mot de passe à la connexion suivante (nouveau mot de passe ne peut pas être le mot de passe temporaire peut-être)
Le commentaire est contre l'envoi du mot de passe d'origine dans le courrier électronique, ne pas envoyer quoi que ce soit dans le courrier électronique. Si l'institution peut envoyer le mot de passe d'origine, ce qui signifie qu'ils ont, et c'est un problème de sécurité. L'intervenant ne contestait pas contre l'envoi d'un mot de passe par e-mail, parce que c'est à peu près nécessaire dans la plupart des cas.
La bonne façon est d'attribuer un nouveau mot de passe qui est utilisable une fois, pour une raison quelconque. Peut-être qu'il est déjà marqué expiré par le système, peut-être il se connecte simplement dans une page pour modifier le mot de passe qui est généré dynamiquement une fois et une seule fois, quel que soit.
La chose que je comme le meilleur est pour l'application d'envoyer un e-mail à l'utilisateur sur l'adresse enregistrée-mail avec un lien unique valable pour X heures qui fournit une page « Modifier mot de passe ».
L'utilisateur peut alors définir le mot de passe s / il aime sans risquer de l'avoir mis dans un courriel.
Mon fournisseur de carte de crédit a une option « mot de passe oublié » que vous pose des questions de sécurité (ce n'est pas sûr énormément en soi, mais beaucoup de banques le font) et génère ensuite un nouveau code et vous donne la moitié à l'écran et des e-mails les seconde moitié pour vous. De cette façon, vous ne pouvez pas briser le compte sans accès à la fois la page Web et l'adresse e-mail.
J'ai demandé un peu à ce sujet à partir d'un perspective de la facilité d'utilisation un certain temps.
