Come implementare un modo sicuro per consentire agli utenti di reimpostare la password tramite url?

1

L'opzione di reimpostazione della password deve essere fornita solo se il link proviene dalla posta in arrivo dell'utente specifico e non da un'altra parte. Come implementare l'url in modo tale che le informazioni richieste, ad esempio Mailbox, possano essere ottenute dall'URL? Facebook e Twitter come le aziende sembrano averlo già implementato. Eventuali suggerimenti o idee sarebbero apprezzati.

    
posta Sudip Bhandari 24.06.2016 - 17:22
fonte

1 risposta

4

Metti un token crittograficamente casuale e non percettibile sul link di reimpostazione della password che invii alla casella di posta dell'utente e dai loro un limite di tempo, scadendo il collegamento dopo che il limite di tempo è passato. Il token assicura che proviene dalla casella di posta corretta.

Ulteriori letture
Implementazione corretta dei meccanismi di reimpostazione automatica della password per le applicazioni web
Password dimenticata Cheat Sheet di OWASP

    
risposta data 24.06.2016 - 17:39
fonte

Leggi altre domande sui tag