効果的な技術のためのパスワードを検索現代のWebアプリケーション

StackOverflow https://stackoverflow.com/questions/910856

質問

てくださっているwebアプリケーション場面しているので、安くておいしいを実装する必要があると伝統的なウェブアプリの機能のパスワード検索。に応じ傾向のアプローチがありますように..

  1. 送信パスワードをリセットへのリンクはユーザーの送いたします。
  2. い秘密の質問は、ユーザーのためのパスワードを回復しました。
  3. リセットは、既存のパスワードと新しいパスワードを送信したりすることを示すことができた。この場合にも、ユーザ、パスワードの変更をおき、次回の起動時にそれをログオン.

いず非伝統的な技法の実施のためのパスワードを検索機構?他のアプローチした。

感謝。

役に立ちましたか?

解決

によって異なりのレベルのセキュリティとシステムの安定を目指し、コスト、使い勝手。

メールで送信するパスワードをリセットリンクの方法のための数理由:

  • 支援費用 -この最大の要因であるのは、ビジネスの観点から言えユーザーにしばし忘れてもパスワードのヒントを使用偽の住所又は忘れられユーザー名を入力します。すべてのこれらの正当な懸念できるよう支援します。この作成もう一つの問題は、設立の妥当性を利用する際には、利用者の求めについての最近のアカウントどこですか?をご提供いただけない場合はそのレベルの支援は多くの初心者ユーザーます。メールで送信するパスワードをリセットリンクを軽減これらの懸念ので、ユーザーは、通常、一部のメールアドレスで簡単に回復ユーザ名/パスワードが提供するメールアドレスです。

  • 安全保障上の懸念 -この最大の要因は技術的な観点から議論する.が懸念がここについては重量.A損メールアカウントのハッカーでアクセスのすべてのユーザーのサービスするパスワードをリセットリンクをメールで送信.また会計清算ができるための中間地であるメールのパスワードをリセットへのリンクをユーザに求めるユーザーのパスワードのヒントに質問してやっているのですがどうしてできるリセットパスワードになります。再度、絶対にさらさないでくださいユーザーのパスワードのいず。この場合の能力をより多くの人に見せたいときはパスワードのシステムが既に不安定なのでとはできない保管用安全ハッシュのようSHA-1および開発の会社では皆様のパスワードになります。

  • 使い勝手の -この最大の要因から、ユーザー視点です。メールで送信するパスワードをリセットリンクはユーザック電子メールアドレスまでの時間を作ることを楽しむことができ2で3分。しかし、私の考えではありません。ほとんどのユーザいなかったのでしょうかこいで断層このセキュリティ対策を。私だけhypothesizingから個人の経験とユーザーの一般的な感じでとは異なります。く安全保障としての優先度の高い、ユーザーがユーザーが、普段どおりの組み合わせて取得する際に必要パスワード(ユーザはログインせずに長時間を忘れてしまった彼のパスワードユーザが保存した彼のパスワードをブラウザのた後、再びその他の端にいます。

他のヒント

その他のオプションは私の実践を含む

  • を第二のパスワードのように-ようなものをスーパーピンを使用携帯電話のこと。
  • 作成ファイル東建コーポレーション(通常はPGPキー)のユーザーがダウンロードでアカウント作成ダウンロードしましょうUSBスティック、またはアーカイブで用しています。れていない場合は問題は、ユーザのアップロード、トークンが証明したのは、"所有者のアカウントの申請よう、ユーザ、パスワードの変更を行います。この定数トークンまたはファイルを複数のトークン(オンラインバンキングTANs)-各トークンを使用しても無効となります。

以上の方法は単純な実装がかなりユーザーフレンドリー(そのものについての新しい関係している感じがいいだろう存在その他に日々の状況).

私の意見では、ユーザーの電子メールにパスワードリセットのリンクを送信する最良の方法です。これは、Diggはそれをしない方法であり、これが私のやり方です。

しかし、この方法では、我々は彼の電子メールにアクセスできること、ユーザーに依存する必要があります。

秘密の質問の方法について:より多くの場合より、秘密の質問の答えは、私たちが望むほど秘密ではありません。これは、「アカウントハック」のこの方法を阻止するために、当社のユーザーの最善の利益になります。

ウェブサイトおよびその管理者は、そのユーザーのクリアテキストのパスワードを知っているべきではありません。唯一の認証イベントでの比較のために保存されたパスワードの一方向ハッシュがあるはずです。だから、パスワードをクリアテキストはオプションではありません送信します。

個人的に私は、ユーザーに送信されたパスワードリセットのリンクが好き。しかしそのリンクを期限切れにすることを忘れないでください。また、成功したリセット後だけでなく、(リセットリンクと同じメールすることができます)パスワードリセット試行の電子メールを介してユーザに通知します。

パスワードのリセットリンクに追加のアプローチは、ユーザーがリンクをクリックされた後で入力する必要がありますことを、電子メールのリンクに出ないランダムなキーを作成することであってもよいです。これは、電子メールをキャプチャする人々に対して役立つだろう。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top