我是计算机科学系的学生网络开发人员,我被要求调查我们的Linux帐户密码重置程序的修改。目前,用户将使用他们的大学凭据(通过Active Directory)登录,并且在经过身份验证后,他们会通过电子邮件获得临时密码,一旦他们登录,他们就会被迫更改。这样eben如果它截获的临时密码是甚至可以使用它的非常短的时间跨度。
现在提出的想法是,我们可以允许用户选择新的永久密码并通过Web实用程序直接设置,而不是使用临时密码。据我所知,https更像是“我们拥有的最好”,而不是“保护信息的好方法”。我是否可以通过其他途径探索如何保护新密码,以便我们能够轻松实现这样的系统?
答案 0 :(得分:0)
基本上,如果您通过HTTPS与服务器通信并且服务器的私钥未向其他人公开,则可以确保您传输的任何内容(例如新密码)只能被解密由服务器。此外,服务器证书确保您正在与之通信的服务器确实是您要与之通信的服务器。
因此,使用HTTPS可提供身份验证并防止窃听。
答案 1 :(得分:0)
如果您正在使用Active Directory,我的理解是不支持密码修改扩展操作(需要现有密码)。因此,必须使用LDAP修改请求更改密码。一种解决方案是将UnboundID LDAP SDK与Web应用程序一起使用,以使用新密码执行LDAP修改。修改请求应通过安全连接传输,或使用StartTLS扩展操作提升为安全连接的非安全连接。
ldapmodify的,但这些概念很有用。