0
這裏是場景:密碼重設散列應該有效多久?
黑客劫持我的網站上的用戶帳戶。黑客更改密碼。我的網站會發送一封電子郵件給用戶的聯繫人電子郵件地址,其中包含一個帶哈希值的網址鏈接以重置密碼。黑客然後在第二天更改用戶的聯繫人電子郵件地址。然後,我的網站發送一封電子郵件給新舊電子郵件地址。
這裏的大部分答案都表示恢復哈希應該在一個小時內有效。但是如果用戶離開家,在哈希過期一週後才收到郵件,該怎麼辦?用戶的密碼已更改,無法獲得新的恢復電子郵件。用戶現在已經失去了帳戶,無法恢復。哈希值不應該在一兩週內保持有效,或者直到它被使用爲止?
如果黑客知道這種機制在大多數網站上如何工作,聲稱忘記密碼並請求一個新密碼會發生什麼情況。如果網站產生一個新的散列,替換舊的散列,從而渲染真實用戶的重置散列無效?或者該網站不應該改變散列,並再次發送相同的散列?但是現在,真正的用戶和黑客都有散列來重置密碼嗎?
我SOOOOO困惑...也許沒有完美的解決了這個問題...
任何其他技術?我個人不喜歡「祕密問題」,因爲他們往往會提供一個後門進入某人的賬戶。當網站需要他們時,我輸入亂碼作爲答案。
順便說一句,我知道有類似的問題是這樣的,我寧願要求澄清現有問題的評論,而不是開一個新問題,但我沒有足夠的聲望來添加對其他人的問題發表評論。
我已經實現了像驗證碼(註冊,並重置他們的密碼),但不像討厭。我不想通過在我的問題中談論驗證碼來解決問題。所以謝謝,但目前這不是問題。現在,我更關心一系列事件,以防止人類攻擊者將真實用戶鎖定在他們的帳戶之外,同時不讓真正的用戶失去恢復其帳戶的能力。 – Fredashay