我已经阅读了这两个关于忘记密码的链接以及根据几个条件和情况重置密码的更好方法......
Forgot Password: what is the best method of implementing a forgot password function? What is the best "forgot my password" method?
但我手边的情况略有不同。
我们正在考虑重置密码/忘记密码,但挑战是我们有属于群组电子邮件的用户
e.g。 engineering@mycorporate.com,h.resource @ mycorporate.com等
每个群组电子邮件都有许多用户,其电子邮件是群组的一部分,他们需要使用群组电子邮件登录本地Intranet系统。
如果我们有一个忘记密码链接让他们重置密码,我在这里看到了一些可能性:
群组电子邮件中的用户密钥,验证群组电子邮件,发送包含一些唯一字符串的链接但暂时保留1小时,点击电子邮件中的唯一链接,输入新密码并确认新密码。
< / LI>群组电子邮件中的用户密钥,验证群组电子邮件,向群组电子邮件发送新的随机生成的密码,要求他们在1小时内登录并更改密码。
但不知怎的,问题仍然来自群组电子邮件,任何用户都属于该群组的人会知道随机密码(第2点)
但是,如果使用方法点1或点2,Person Y执行忘记和重置密码,Person Z或任何其他人不知道新重置的密码...
您怎么看?
答案 0 :(得分:0)
保持密码对群组电子邮件的收件人不起作用是没有意义的,因为他们每个人都可以启动并完成密码重置过程并将密码设置为他们喜欢的任何内容。如果相关帐户不应该对电子邮件组的所有成员都可访问,则应将其更改为引用个人电子邮件地址而不是第1组。
如果您确实希望电子邮件组的所有成员都知道密码,则无论您为实际更改实施的机制如何,都需要有一些渠道将新密码分发给所有成员。如果您可以依靠公钥加密并确保只有实际的授权收件人能够读取密码,或者如果它不是一个非常关键的系统,您可以忽略安全最佳实践并只发送新密码,那么电子邮件就可以了。纯文本电子邮件。