Framework dietro il meccanismo di reimpostazione della password

0

Ho sempre visto i link "Password dimenticata" dai siti Web che richiedono una qualche forma di accesso utente. Posso avere una comprensione più profonda di come funziona? Quali strumenti / framework ho bisogno di usare perché stiamo pensando di implementare questo tipo di "automazione". Credo di aver bisogno di una combinazione di email, OTP ecc.

Attualmente siamo ancora in modalità manuale, cioè inviando lettere di password tramite posta ordinaria e sto pensando di rinnovare il nostro sito. grazie

    
posta dorothy 20.03.2015 - 01:53
fonte

1 risposta

2

I meccanismi di ripristino della password in genere funzionano in questo modo:

  1. Il server genera una stringa casuale segreta (per esempio 16 byte letti da /dev/urandom ).
  2. Quindi il server invia questa stringa all'utente, spesso incorporata in un collegamento a una pagina di reimpostazione della password. Un hash della stringa viene memorizzato nel database per una successiva convalida. Di solito, la stringa è valida solo entro un certo periodo di tempo.
  3. Quando l'utente fa clic sul collegamento, il server controlla la stringa trasmessa. Se è valido, l'utente può cambiare la password.

Sebbene questo approccio sia molto comune, è ovviamente tutt'altro che perfetto. Una e-mail in chiaro può finire molto bene nelle mani sbagliate, nel qual caso la stringa segreta è compromessa. Se questo rischio sia accettabile o meno dipende interamente dalla tua applicazione e dai tuoi requisiti specifici.

    
risposta data 20.03.2015 - 04:55
fonte

Leggi altre domande sui tag