2012-05-28 52 views
2

我已經通過這2個鏈接瞭解忘記密碼而這將是更好的方法基於幾個條件和情況來重置密碼...爲組電子郵件更好重置密碼

Forgot Password: what is the best method of implementing a forgot password function? What is the best "forgot my password" method?

但我手頭有一個稍微不同的問題。

我們正在考慮具有重置密碼/忘記密碼的事情,但面臨的挑戰是,我們誰屬於組電子郵件

例如用戶[email protected][email protected]

每個羣組的電子郵件都有許多用戶,他們的電子郵件是羣組的一部分,他們需要使用羣組電子郵件登錄本地Intranet系統。

如果我們有一個忘記密碼鏈接爲他們重置密碼,我在這裏看到了幾種可能性:在組電子郵件

  1. 用戶密鑰,驗證組的電子郵件,發送一個鏈接與一些獨特的字符串但暫時1小時,點擊電子郵件中的唯一鏈接,輸入新密碼並確認新密碼。

  2. 在組電子郵件用戶密鑰,驗證組電子郵件,到羣組電子郵件發送新的隨機生成的密碼,要求他們在1小時內登錄和改變密碼。

但不知何故,這個問題仍然來自組電子郵件的事情,任何用戶都屬於該集團將知道隨機密碼(點第2號)

不過,如果使用這兩種方法沒有點0.1或2號點,人ÿ執行的忘記和重置密碼,個人Z或任何其他不知道新設的密碼的?

你覺得呢?

回答

0

保持組密碼不會受到組郵件的收件人的密碼,因爲他們每個人都可以啓動並完成密碼重置過程並將密碼設置爲任何他們喜歡的。如果該電子郵件組中的所有成員都無法訪問該帳戶,則應將其更改爲引用個人電子郵件地址而不是第一個組。

如果你真的想要的電子郵件組的所有成員知道密碼,你將需要有分發新的密碼給所有成員,無論你的實際變化實現機制的一些渠道。如果您可以依賴公鑰加密並確保只有實際授權的收件人才能讀取密碼,或者如果它不是一個非常關鍵的系統,您可以忽略安全最佳實踐,只需將新密碼發送到純文本電子郵件。

+0

請注意,任何密碼重置電子郵件計劃本質上都與電子郵件通信一樣不安全;即使最初的重置鏈接(如果被攔截)也可以用來訪問有問題的帳戶,就像電子郵件的真正收件人一樣。 – lanzz

相關問題