密码被哈希时重置用户密码的最佳方法是什么:
答案 0 :(得分:6)
创建一个唯一的哈希链接,用于重置密码,该密码有效一小时并将该链接发送到邮件
这是我更喜欢的方法。它仅允许您在当且仅当用户访问该链接时才重置密码。这样,如果有人恶意尝试重置密码,用户可以直接删除电子邮件并且不受影响(无需输入新密码)。
此外,您应该为重置链接提供某种更长的过期日期(例如12到24小时)。
答案 1 :(得分:4)
2是最好的方法。永远不要以简单的形式邮寄密码。更好的是,不要以这种方式将它保存在您的系统中。总是把它煮熟并腌制。
评论的后续行动:通过电子邮件发送哈希而不是普通密码也可能不安全,但是您正在通过此方式寻求不同的目标。许多人对所有网站使用相同的密码,从Facebook到网上银行。特定的哈希可能会受到损害,但密码本身就不会受到影响。
答案 2 :(得分:1)
#2优于#1,只是因为通过电子邮件以纯文本方式发送密码会不必要地暴露它。
其他选项包括:
答案 3 :(得分:0)
这取决于您保护的信息的敏感性......
安全性和可用性之间存在良好的平衡,您需要确定它的位置以及您要保护的资产。
我通常做的事情(假设涉及财务数据)是选项2,减去1小时的限制。
答案 4 :(得分:0)
我在某些网站上发现了一种非常有趣的方法:他们通过短信向您发送新密码。这太棒了,因为电子邮件可以被黑客攻击但电话......我认为不容易被黑客攻击。