我的客户的网站不允许最终用户注册。如何向新用户提供他们的登录/登录信息而不以纯文本形式发送?我不想以 http://plaintextoffenders.com/ 结束。
以下是我正在处理的内容:
我可以轻松编写一次性密码或发送一些长的唯一密钥作为URL的一部分,将其带到可以创建密码的屏幕,但我不知道如何解决这个问题,因为如果有人正在观看他们可以轻松获取所有信息的电子邮件流量,就像密码在电子邮件中一样。那么这只是没办法吗?我认为一次性密码在设定的时间之后到期是最佳选择。我还缺少其他选择吗?谢谢!
更新: @Chris有传统邮件的想法。我的网站不允许这样做,但这是一个“开箱即用”的想法,我认为值得一提,如果它可以帮助其他人。我发现这样的服务 https://www.trypaper.com/ ,它真的很酷,它们有一个API,因此您可以让您的网站自动触发包含其创建时的登录信息的真实蜗牛邮件信件他们的帐户。古老的,但它是一种选择。
答案 0 :(得分:1)
这并不容易。
您可以做的是让人们从中心位置收集密码(我不知道他们是否都在同一个位置?)。另一种选择是按传统邮件进行。或者可能还有另一个受信任的第三方用户可以收集其初始密码?
但是我个人会使用URL和令牌来使用超时解决方案。你是对的,这个信息是以明文形式传递的。但是,如果攻击者使用此信息,您就知道发生了这种情况,因为合法用户无法设置他/她的密码,从而导致帮助台呼叫。如果您以纯文本形式传输密码,则不具备此优势(至少如果您不使用一次性密码进行此操作)。