Reimpostazione contro re-invio di password dimenticate

0

Quando un utente dimentica la propria password, è preferibile reimpostare la password e inviarla via e-mail all'utente o semplicemente inviare per e-mail la password corrente all'indirizzo e-mail dell'utente.

    
posta Jason Van Der Meijden 22.05.2015 - 12:51
fonte

2 risposte

19

Non dovresti mai essere in grado di inviare a un utente la propria password. Tutte le password devono essere archiviate in un formato hash, con una funzione hash sufficientemente buona che il recupero della password originale non è calcolabile.

Come per il reset della password, dipende dall'applicazione. Se si tratta di un'applicazione web, invia un link di reset della password utilizzabile una tantum e limitato nel tempo e chiedi all'utente di darti una nuova password. Se non è un'applicazione web, diventa un po 'più complicata.

    
risposta data 22.05.2015 - 12:56
fonte
-4

non è mai una buona pratica condividere la password attuale. È meglio ripristinarlo con la password temporanea e chiedere all'utente di generarne uno nuovo con il suo aiuto. Questa è la migliore pratica che viene seguita la ragione è se si invia la password via mail o sms e in caso di hack di account ecc. Sarà un problema più grande dato che gli utenti normalmente usano la stessa password in più posti.

    
risposta data 26.07.2017 - 08:27
fonte

Leggi altre domande sui tag