我们有一个使用密码验证访问数据库的系统,用户名和加密密码存储在数据库中。当用户忘记密码时(或管理员离开绿色牧场),我们希望能够为当前管理员生成新密码或生成新管理员。
我们通过电话支持与客户打交道。所以我们想要使用这种情况:
用户响了 - 忘了密码。
客户端软件根据其站点许可证生成质询代码
用户告诉电话支持人员挑战代码
电话支持人员提供回复代码
用户输入挑战和响应代码,然后进入后门(新用户创建或当前用户重置密码)
我们希望挑战/回应只能运作一次,我们不想让后门敞开。
我们应该怎么做呢?
答案 0 :(得分:0)
根据站点许可证和数据库存储密码生成质询代码。使用新密码,下一个挑战代码必然会有所不同。没有后门。