以下是该方案:
黑客劫持了我网站上用户的帐户。黑客更改密码。我的网站向用户的联系电子邮件地址发送一封电子邮件,其中包含一个包含带有哈希值的网址的链接以重置密码。然后,黑客在第二天更改用户的联系电子邮件地址。然后,我的网站会向旧的和新的电子邮件地址发送一封电子邮件。
这里的大多数答案都说恢复哈希应该有效一小时。但是,如果用户离开家并且在哈希过期一周之后才收到电子邮件怎么办?用户的密码已更改,无法获得新的恢复电子邮件。用户现在已经丢失了帐户,无法恢复帐户。哈希不应该在一两周内保持有效,或者直到它被使用?
如果黑客知道这种机制如何在大多数网站上运行,会发生忘记密码并请求新密码的情况。站点是否应生成新哈希,替换旧哈希,从而使真实用户的重置哈希无效?或者网站是否应该更改哈希值,并再次发送相同的哈希值?但是现在,真实用户和黑客都有重置密码的哈希值?
我太乱了......也许这个问题没有完美的解决方案......
还有其他技巧吗?我个人而言,不喜欢“秘密问题”,因为通常情况下,他们提供了一个后门来攻击某人的帐户。当网站要求我这些时,我输入乱码作为答案。
顺便说一句,我知道有类似这样的问题,我宁愿在对现有问题的评论中要求澄清,而不是打开一个新问题,但我没有足够的声誉来添加评论给别人的问题。
答案 0 :(得分:1)
我会设置哈希值直到激活并完成caphata,因为黑客可以使用机器人进入网站。
编辑:黑客不会知道重置验证的密码。