1
我目前正在開發一個允許用戶使用密碼登錄的c#web應用程序。我需要包含的功能是忘記密碼功能。什麼是忘記密碼過程的最佳做法?
什麼是忘記密碼的推薦流程?
我正在考慮這個:
- 用戶點擊忘記密碼,請輸入電子郵件地址
- 電子郵件發送
- 點擊鏈接的電子郵件(鏈接只有一次有效時間內)
- 採取並要求輸入新的密碼(他們是否也應答安全問題?)
- 密碼更改,郵件發送給此類用戶
- 用戶現在可以用新密碼登錄
A
回答
3
你的點子看起來堅實,但我想補充一些其他方面的考慮:
- 確保您在電子郵件中使用生成的令牌使用爲隨機化而設計的.Net Framework加密類,不是那種看起來是隨機的,但不是爲此目的而設計的。
- 對發送重置電子郵件的帳戶不採取任何操作(否則,如果他們知道他們的電子郵件,人們將能夠鎖定其他人的帳戶)
- 添加限速器,可以爲每小時生成多少次重置給定的電子郵件。否則,有人可以通過以下方式對用戶進行DOS操作:(a)使用x錯誤密碼來鎖定帳戶,然後(b)爲他們生成重置電子郵件的速度比電子郵件系統所能提供的更快。
- 儘可能地推遲到其他系統,如OpenID。當你推出自己的產品時很容易出錯。
0
我們有兩種方法來檢索忘記密碼: 1.通過註冊電子郵件ID 2.通過註冊的手機號碼
註冊的電子郵件ID:
一個。要求用戶提供註冊郵箱編號
b。系統檢查提供的電子郵件ID是否在數據庫中可用
c。如果電子郵件ID在數據庫中存在,系統將發送電子郵件以重置密碼,但如果電子郵件ID不在數據庫中,則系統會顯示警報消息。 d)。用戶必須在重置忘記密碼的同時提供強密碼。
e。密碼重置成功,並且相對於電子郵件ID也在數據庫中發生更改。
註冊手機號碼:
的過程與電子郵件,但是在這種情況下幾乎相同,OTP將在註冊手機號碼發送。 我們需要整合第三方SDK,或者我們可以在IOS中使用imessage。
相關問題
- 1. 實現忘記密碼功能的最佳方式是什麼?
- 2. 實施「忘記密碼」的最佳方式是什麼?頁?
- 3. 重置已忘記的用戶密碼的最佳做法
- 4. 支付網頁密碼輸入的最佳做法是什麼?
- 5. 密碼發佈的最佳做法是什麼?
- 6. mvc2確認密碼字段的最佳做法是什麼?
- 7. 最佳做法是什麼?
- 8. 忘記密碼
- 9. log4cxx的最佳做法是什麼?
- 10. 什麼是ViewModel的最佳做法
- 11. 在codeigniter中加密密碼的最佳方法是什麼
- 12. 在獨立應用程序中處理「忘記密碼」的最佳方法
- 13. MariaDB加密的最佳做法是什麼?
- 14. 在.NET中加密數據的最佳做法是什麼?
- 15. 檢測像素比率/密度的最佳做法是什麼?
- 16. 保護git倉庫祕密的最佳做法是什麼?
- 17. HMAC解決方案中密鑰的使用(最佳/最佳做法)是什麼?
- 18. 用CouchDB和Backbone.js提供遺忘密碼功能的最佳方式是什麼?
- 19. Nginx和runit ....什麼是最佳做法
- 20. WCF休息 - 最佳做法是什麼?
- 21. ASP.NET緩存,什麼是最佳做法
- 22. 記錄用戶活動的最佳做法是什麼?
- 23. 記錄錯誤的最佳做法是什麼?
- 24. 在批處理中使用密碼短語的最佳做法是什麼?
- 25. 處理密碼和配置文件的最佳做法是什麼?
- 26. 使用C#設置功能保存密碼時的最佳做法是什麼?
- 27. 在iPhone上存儲用戶名和密碼的最佳做法是什麼?
- 28. 什麼是omniauth和電子郵件密碼註冊的最佳做法?
- 29. 忘記密碼URL
- 30. CakePHP忘記密碼
這些都是很好的觀點,只有在x登錄失敗後鎖定賬戶的觀點值得商榷。我永遠不會鎖定一個帳戶,因爲登錄不良,只會延遲下一次可能的登錄來阻止暴力強制。用垃圾郵件向用戶發送垃圾郵件也不成問題,使用匿名電子郵件帳戶的普通電子郵件將垃圾郵件發送給他是很容易的。 – martinstoeckli