何が最高の"パスワードを忘れ"方法は?[重複]

StackOverflow https://stackoverflow.com/questions/901639

質問

可能な重複:
パスワードをお忘れの方はこちら:何が最善の方法を実施し、パスワードをお忘れの方はこちら機能しているのでしょうか。

私はプロ、コミュニティサイト.

を作りたい"を忘れパスワード"の特徴です。

見異なるサイトがその場で発音を確認することがでの採用の 三つのオプション:

  1. 送信ユーザは、 メールへのリンクは、隠れたURL 可能にするために変更するパスワード(Gmail)では、アマゾン)

  2. 送信ユーザのメールを 新しいランダムに生成されたパスワード (Wordpress)

  3. 送信ユーザ 現在のパスワード (www.teach12.com)

オプション#3 うのに便利なユーザーが、しっかりとパスワードとしてのMD5ハッシュ、などのオプション#3が利用できることとって MD5が不可逆的な.このような気もする 不安定な オプションからこのwebサイトな存するパスワードをクリアテキストのどこかに少なくとも、クリアテキストのパスワードが送信され不安にe-mailに使用しています。または私を見落とさないようです。

なのでこれができないオプション#1, オプション#2 るように 最も簡単なプログラム からだの変更、ユーザーのパスワードを送信します。ですが、 やや不安定な ていライブパスワード通が不安なのでe-mail<url>しかし、このものは悪用されるトラブルメーカー pesterユーザー ピランダム電子メールや絶えず変化するパスワードのユーザー

オプション#1 るように をセキュア が必要に少しプログラミング対応の隠れたURLの満了日等 でもそのビッグサイト。

何を経験しに行きました利用プログラこれらの様々なオプション?などがありますか飲?

役に立ちましたか?

解決

4)2つのランダムな金額で自分の銀行口座に入金してのものを入力してもらう。
5)カタツムリは彼らにいくつかの新しいパスワードを郵送し、それを入力してもらう。
6)彼らはテキストまたはいくつかの番号に電話して、彼らがファイルに登録された携帯電話との電話番号にいくつかの値を入力してもらいます。
7)スタックオーバーフローは、Facebook、ブログエンジンのようなのOpenIDプロバイダにそれをアウトソーシングし、他の人が何をし始めていることにより、完全にパスワード管理上の問題から出て行けます。

これらの外、両方が1時間で期限切れに追加された機能とオプション#1または#2を使用します。

他のヒント

私は衝撃を受け、upvotesに答えを記述する#1、#2と同等です。ではない。送信ユーザを短期間でリンクパスワードを変更するには最も便利で、最も一般的に用いられており、多くの確保にアプローチしない為のバンドの相互作用のメールテキストmsgます。数理由:

  1. 設定に仮パスワードを介してパスワードを忘れた方はこちらのリンクをユーザに効果的に変更ユーザーのパスワード、ロックユーザーのアカウントを知ってもらえれば、ユーザのログインします。リンクは、ユーザーは単に知っていろとアクセスな影響を及ぼす。
  2. パスワードをリセットリンクする場合に有効で、短い期間では、非常に小さなウィンドウを攻撃者をグラフで表示しています。んに行われていなかったり、ユーザが知らないのでリセットリンクがなくなる場合、攻撃者が傍受、リンクについて、パスワードの変更を行います。場合、新しいパスワードを割り当てないユーザによる変更すぐ 攻撃者はた傍受されにパスワードがら、心静かなひとときを過装は、ユーザ無制限に.その大きな違いは、ハッカーでは切片のパスワードのリセットリンクメール を利用された場合、リンクの変更、ユーザーのパスワードは、ユーザーハウスに誤りがある でのリンクなんでもらい、生パスワードのリセットします。
  3. より使いやすく、ユーザーだけでクリックでリンクをメールではなくタイピングの新しいパスワードをランダムにだけ生成されます。

および安全保障問題の多くのサイトの安全てあるかないかを問わない。-彼らは別の攻撃ベクトルが最も弱い。私のおすすめの読書 ウェブアプリケーションハッカーの手帳 優れた議論である.

このオプション#2を必要なときにトラックにパスワードの期限は、新しいパスワードをランダムにない場合、使え24時間までとなります。

そう煩わさによる繰り返し発行する新しいパスワードをランダムに--ない場合は、近くのメールがない場合がございますなぜそうなログインできなお通常のパスワードになります。

また、ください 回避 必要なの"識別"という問題.これらの問いへの答えは、通常、いくら推測されやすい/ルックアップより実際のパスワードが皆様を識別できる人だった。を参照 Sarah Palin 物語のための最近の例では、どのよう不安定なことです。

互いに

オプション1及び2のような安全でない。

があり。私はそれを言いました。ユーザーのメールアカウントが破られた場合、あなたは自分の住所のような、よりプライベートなデータを収集しない限り、物事を行うには、合理的な安全な方法はありません、母親の旧姓 - 。推測することができますすべてが

あなたは秘密の質問の秘密の答えを覚えておく必要がある。ここで、

私が見た中で最高の(とはいえ、最も迷惑な)バージョンがあります。これは、ユーザーはもちろん、常にあまりにも忘れることができ、彼らは尋ねた質問を、覚えなければならないことを意味します!

彼らは質問を忘れて、あなたが「本物」の会社であれば、すべてのセキュリティをリセットする方法の説明と、ポストを通じてトークンをユーザーに送信するオプションが常にありますが...それはハッカー性は非常に低いです彼らの現実のメールにアクセスできるようになります。

その上のスキューは、ユーザーがアカウントを作成したときに、電話番号を収集することです。それが存在し、彼らはその詳細のいずれかを思い出せなかった場合は、その詳細をリセットするためにそれらをどのように言いました、自動呼び出しシステムのいくつかの並べ替えを設定することができます。

は約2位に言及する一つのこと:プロセスは、現在のアカウントのパスワードを上書きしてはいけません。それが起こった場合は、誰もが、彼らは不必要なパスワード変更の多くをトリガーする、任意のアカウントのパスワードを忘れてしまったと言うことができます。

オプション1または2オプション1のセキュリティの間には実質的な違いは、効果的にフォームに新しいパスワードをプリロードと同じではありませんです。

実際には、フィッシング攻撃の有病率で、1は、長いURLとオプション1の使用を奨励することは、長い神秘のURLをクリックする程度の人はあまり警戒作ることができると主張している可能性があります。

あなたの方法に準拠しているか確認するために、

OWASPトップ10 に。

ここに直接リンクされます。

あなたの質問に関してではない、具体的なものにだけ簡単なメモ。あなたが保存されたパスワードをハッシュするMD5を使用述べました。かかわらず、あなたはオプション1または2(3は、明白な理由として最も安全であることを行っている)を使用することを選択したかどうかの、MD5は割れたハッシュアルゴリズムであり、実際にはかなり簡単にハッカーがで保護されたアカウントへのアクセスを得るためにのために作ることができますMD5ハッシュ。

は、次のURLにある脆弱性が、それについての詳細を読むことができます:en.wikipedia.org/wiki/MD5

よりよいハッシュ・ソリューションは、まだ安定した安全なハッシュアルゴリズムであるSHA、ようなものになるだろう。オプション#1または#2と組み合わせることで、あなたが最も決定したハッカーが、すべてがなければ、ユーザーのパスワードを保護するために合理的に安全なシステムを持っている必要があります。

オプション#1は、おそらく最高です。 #3は安全ではない(と私はまた、SHA1として、MD5よりも強いものを使用することをお勧め)。あなたはセキュリティの質問を使用しない限り、それは、あなたがあなたの電子メールをチェックするまで、あなたのアカウントのあなたをロックする任意のランダムな人ができますので、オプション#2は良くありません。セキュリティの質問は、多くの場合、パスワードより簡単に破ることができます。

オプション#1は#2を超える大きな利点がいくつかあります。 「私は自分のパスワードを忘れてしまった」ボックスにメールアドレスのランダムなユーザーの種類は、その後、私のパスワードがリセットされません。また、少しより永遠にGmailの受信トレイに保存されているサイトのパスワードのない永久的な記録がないことで確保されます。

ここで重要な不足している部分は、あなたが#1で提供リンクは唯一のリセット1つのパスワードのために働くと時間制限を持つべきであるということです。

すべてのこれらのソリューションは、あなたがそれらすべてを支配する「一つの環」として、電子メールの受信トレイを処理していることを意味します。ほとんどのオンラインサービスでは、日とにかく、今これをやっているようです。

私の好ましいアプローチは、可能な限りのOpenIDで行くことです。パスワードの管理は誰が非常に権利を取得するようだ地獄です。それは他の誰かにこの問題を手に簡単です。

オプション4:自分のアカウント名とメールアドレスを入力して、パスワードをリセットするようにユーザーに要求します。限り、あなたは(この日および年齢であなたをなぜでしょうか?)サイト上の実際の名前や電子メールアドレスを開示していないので、これは合理的に安全かつ改ざん防止方法です。リセットページではなく、パスワードそのものへのリンクを送信します。

オプション5: OpenIDのに使用し、それを心配するサードパーティへの責任を渡す

正直なところ、これはほとんどのサイトが必要よりも多くの努力ですが。私は私の受信トレイに「登録」フォルダに保存するので、私は1 LIKEのために電子メールで平文パスワードを受け取ります。私はそれらを忘れたときにそのように私は(多くのことをたまたま!)サイトのパスワードを検索することができます。誰かが私の電子メールを読んでいるなら、私は(私は1つを持っていた場合)私のTwitterアカウントを使っている人よりも心配することは大きな問題を抱えています。もちろん、銀行や企業は、より強力な要件を持っていますが、あなたのサイトが何であるかを指定していません。それが最良の答えの鍵です。

いくのオプション#3ています。

としてのプログラミングのいずれか1及び2、オプション#2やプログラムが#1になっていくとして確保しています。

いずれかのオプション)"は、お客様にご指定いただくこともでき検討することを確保するなど個人情報を取得することを期登録)の一環として、パスワードを忘れます。

私はプログラムシステムの場合はユーザー名と新しいパスワードをご入力の両方のユーザー名やメールアドレスです。きを送り通知のユーザー名がその主な点は誰もできないユーザー名やメールだそれだけでメールが少なく安心です。

秘密の質問への個人情報の一部です。と思っているな価値として人を選ぶ傾向が見出され問題を多くの人のいずれかに答えることができるようにできます。そのほうが、もしくお使いいただいたなどと組み合わせて、すでに比較的安全な方法により行う。

明らかにしてまいりますのでどうだ、プロの仕事です。

最も簡単な方法です:

  1. い"ってのユーザー名"リンク入りました。いた場合には、ユーザーのメールが送信されたな人で利用する場合は、メールアドレスです。私のユーザーをチェックを受信トレイのためのリマインダメールが送信する場合は、会員;や
  2. するためのユーザー名やメールを送信時にパスワードになります。パスワードは最後にくいです。利用する際に、それは強制パスワードを変更する。

オプション1または2のどちらかがいいと思い。あなたが言ったようにあなたはクリアテキストのパスワードを格納する必要があるだろうとして、オプション3は安全です。あなたは、おそらく空想取得し、パスワードを取得/保存するために、可逆暗号化アルゴリズムを使用しますが、あなたに利用できるより良い代替手段でその道を下って行く理由はありませんでした。

が追加オプションで活用できる組み合わせのオプションをご記

使うためには、ユーザーの書きのメパスワードをお送りいただいたしてその第一歩として、時を忘れてのパスワードになります。場合の注意点にはならないユーザーに行くことができる、次のオプションです。

を通知できないのではないでパスワードそのものの安全な送信メールによるかもしれない表示に直接ます。

あなたがそれらをハッシュしている場合は、あなたに、恥をそれらをハッシュされていない場合、オプション3が使用できないと。 :)

私は自分のパスワードをリセットするために(限られた時間のために)それらを可能に自分の電子メールに送信されたパスワードリセットのリンクを送信し、オプション1を好みます。これは、より多くの作業が必要ですが、それらを使用して、自分の電子メールのログイン・プロセスとして、最終的に安全することは簡単です。

あなたは両方の利点を取って、#1と#2のミックスをした可能性があります:

彼は新しいランダムに生成されたパスワードを変更することを可能にするユニークな、隠されたURLへのリンクをユーザーに電子メールを送信します。

このページにはSSL可能性があり、およびパスワードは12〜24時間で期限切れ可能性があります。

またカップルの方法かされていません。んどろ風mikiモデルを作ってみ決済のプロジェクト:

  1. ユーザーがユーザー名やメールアドレス
  2. メール送信リンクを含むurlおよびガイドparam保存しておいたdbに48時間の有効期限
  3. ユーザが確認パスワードをリセットされ
  4. 新しいパスワードをメールで送信ユーザー
  5. ログインと新しいパスワードの表示メッセージまたはリダイレクトにパスワード変更ページです。

ユーザーがあなたのオフィスに個人的に来て、IDカードやパスポートで身元を証明するよう指示します。

これは、もちろん、あなたがアカウントユーザーの近くに、そのオフィスを持って、この手順を正当化するのに十分な価値があることを前提としています。例えば、銀行に適しています。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top