"Password dimenticata" - Come gestirlo?

Naviga le tue risposte
17

Ho letto questa risposta e ha trovato un commento che insiste a non inviare la password via email:

passwords should not be able to be retrieved by email, I hate that. It means my password is stored in plain text somewhere. it should be reset only.

Questo mi solleva la questione della gestione dell'opzione Password dimenticata?

Ad ogni costo, la password grezza deve essere visualizzata in qualsiasi interfaccia utente in modo che l'utente possa leggerla. Quindi quale sarebbe il modo di gestire "Password dimenticata"

    
posta Gopi 28.10.2010 - 17:03
fonte

5 risposte

35

Una buona progettazione dell'applicazione non sarà in grado di recuperare esplicitamente la password di un utente. Questo perché viene solitamente memorizzato dopo che viene eseguito attraverso una sorta di hash che è un'operazione a senso unico.

Il modo migliore per gestire la password persa è eseguire una reimpostazione, e-mail all'account degli utenti un collegamento con un parametro generato aggiunto che identifica ciò come una reimpostazione valida della password per l'account in questione. A questo punto possono impostare una nuova password.

Questo presuppone che tu abbia un indirizzo email di un utente su file.

    
risposta data 28.10.2010 - 17:08
fonte
7

Non dovresti memorizzare la password principale dell'utente come testo semplice, ma puoi memorizzare una password temporanea come testo in chiaro, cioè

l'utente reimposta la password - > la password temporanea è stata creata - > la password temp viene inviata tramite email - > l'utente è costretto a cambiare la password al prossimo accesso (la nuova password non può essere la password temp forse)

    
risposta data 28.10.2010 - 17:07
fonte
5

Il commento è contro l'invio della password originale in e-mail, non l'invio di nulla nella e-mail. Se l'istituto può inviare la password originale, significa che ce l'ha, e questo è un problema di sicurezza. Il commentatore non stava discutendo contro l'invio di una password tramite e-mail, perché è praticamente necessario nella maggior parte dei casi.

Il modo corretto è di assegnare una nuova password utilizzabile una volta, per qualsiasi motivo. Forse è già contrassegnato come scaduto dal sistema, forse si limita a entrare in una pagina per cambiare la password generata dinamicamente una volta sola, qualunque sia.

    
risposta data 28.10.2010 - 17:28
fonte
4

La cosa che mi piace di più è che l'applicazione invii una e-mail all'utente sull'indirizzo e-mail registrato con un link valido per X ore che fornisce una pagina "Cambia password".

L'utente può quindi impostare la password come piace a lui senza rischiare di averlo inserito in una email.

    
risposta data 28.10.2010 - 17:20
fonte
4

Il mio fornitore di carte di credito ha un'opzione "password dimenticata" che ti pone alcune domande di sicurezza (questo non è di per sé immensamente sicuro ma molte banche lo fanno) e poi genera un nuovo codice e ti dà metà sullo schermo ed e-mail seconda metà a voi. In questo modo non puoi rompere l'account senza accedere sia alla pagina web sia all'indirizzo email.

Ne ho parlato un po 'con un prospettiva dell'usabilità qualche tempo fa.

    
risposta data 28.10.2010 - 17:30
fonte

Leggi altre domande sui tag

Perché usare System.out.println () è così brutto? [chiuso] Quando dovrei usare DBIx :: Class di Perl?