我希望降低恢复密码asp.net的密码复杂性。例如,如果用户进行恢复,它只会发送随机密码和数字。不是复杂的人物! 我的第二个问题是可以恢复密码再次将旧用户密码发送到他/她的电子邮件中吗? 谢谢
答案 0 :(得分:0)
我建议您进行设置,以便不要通过邮件向用户发送新密码。而是发送一个链接到生成的URL,该URL在用户可以设置新密码的特定时间内有效。这样,您可以通过邮件向用户发送密码来解决许多安全问题。
答案 1 :(得分:0)
发送旧密码实际上是一种糟糕的做法,并且系统中存在巨大的安全漏洞。用户通常重用密码。如果有人访问您的数据库或推送用户密码恢复按钮,那么您的用户就是toost。所以你必须将它们保存为带盐的哈希。让用户更改密码的一种方法是发送一次可用的链接,在那里他们可以为您的系统键入新密码。