1
我正在爲我的網站實施忘記密碼功能,並在查看其他網站的最佳做法時,發現gmail強制執行此操作,我沒有看到其他網站強制執行此限制。當用戶更改密碼時,是否有理由禁止他使用過去可能使用的密碼?
A
回答
1
關於密碼和密碼安全性有很多相當過時的想法。
如果用戶的密碼被泄露 - 然後很多天後他們改變它 - 攻擊者現在被阻止從系統中。
如果該用戶返回並重新使用舊密碼,那麼黑客可能會決定重試該帳戶/密碼並重新進入系統。
當然,它開闢了一整套新問題。使用戶不會記住他的密碼,他們就會開始將他們寫在粘貼到他們的顯示器上的便籤上。
個人?在我所從事的所有網站上,我從來沒有想過,對可能(重新)使用哪些密碼添加密碼過期/或限制是很重要的。
1
我原以爲它提供了很少或沒有增加的安全性。你相信用戶不會失去他們的密碼,但我想它可以兩種方式。
如果他們必須選擇一個新的密碼,那麼他們可能不得不把它寫下來或更可能再次忘記它,但是如果他們有一個新的密碼,知道他們使用的密碼的人不太可能使用它訪問您的網站。
無論哪種方式確保您存儲的哈希密碼進行比較而不是純文本。
相關問題
- 1. 是否可以使用Drush更改用戶的Drupal密碼?
- 2. 防止Active Directory用戶使用DirectoryServices更改他/她的密碼
- 3. 我有md5加密密碼,當他使用「忘記密碼」時如何給用戶提供密碼?
- 4. 在檢索當前密碼時更改asp.net用戶密碼
- 5. 使用PHP更改MYSQL用戶密碼
- 6. 禁止用戶導入時更改密碼電子郵件
- 7. 更改用戶密碼時是否更改鹽值?
- 8. 更改使用設計寶石的其他用戶的密碼
- 9. 使用JPasswordField更改密碼
- 10. 使用AWS.CognitoIdentityServiceProvider更改密碼
- 11. 通過PHPmyadmin更改用戶的密碼
- 12. 使用FOSUserBundle更改其他用戶的密碼
- 13. 用戶更改舊密碼和新密碼後都可以使用
- 14. 更改用戶密碼
- 15. Applescript:更改用戶密碼?
- 16. LDAP更改用戶密碼
- 17. Ektron用戶更改密碼?
- 18. 更改用戶密碼! Wordpress
- 19. 更改clearcase_albd用戶密碼
- 20. 通過JDBC更改用戶密碼
- 21. Laravel 5.2更改用戶密碼功能
- 22. JavaScript是否禁止從密碼或密碼更改輸入類型?
- 23. 使功能更改密碼
- 24. 使用Flask-Security更改密碼代碼
- 25. 更改密碼時未找到用戶
- 26. 使用Chai來測試POST /用戶密碼是否被加密
- 27. 如何讓AD用戶能夠在過期時更改密碼?
- 28. Codeigniter:更改登錄用戶的密碼和使用md5的密碼
- 29. Rails3用戶更改密碼,如何更改當前會話密碼?
- 30. 需要密碼才能使用Sorcery更改用戶信息
謝謝,是的,黑客可能決定重試帳戶/密碼似乎是唯一的一個點,將被阻止。 OTOH,這可能會導致帳戶沒有受到損害但希望重用其舊密碼的用戶遇到可用性問題。 – sps