我正在为我的网站实现忘记密码功能,在查看其他网站的最佳做法时,我发现gmail强制执行此操作,我看到的其他网站都没有强制执行此约束。
答案 0 :(得分:1)
关于密码和密码安全性有很多过时的想法。
如果用户的密码被泄露 - 然后很多天后他们就会更改密码 - 攻击者现在就被系统阻止了。
如果该用户返回并重新使用其旧密码,则黑客可能会决定重试该帐户/密码并重新进入系统。
当然,它开辟了一系列全新的问题。这样一来,用户就无法记住他的密码,他们会开始用贴在显示器上的便签写下来。
个人?在我工作的所有网站上,我从未想过在密码可能被重新使用时添加密码过期/或/限制很重要。
答案 1 :(得分:1)
我原以为它几乎没有增加安全性。您相信用户不会丢失密码,但我想它可以双管齐下。
如果他们必须选择一个新密码,那么他们可能需要将其写下来或者更有可能再次忘记密码,但是如果他们有新密码,那么知道他们使用的密码的人就不太可能使用它来访问您的网站。
无论哪种方式,都要确保存储用于比较的散列密码,而不是纯文本。