允许用户重置密码的最安全方法是什么

时间:2014-02-24 16:18:56

标签: password-recovery forgot-password

允许网站用户重置密码的最安全方法是什么?我知道你可以在他们的电子邮件中发送一个独特的网址,但是有没有其他人使用的技巧?我们假设用户不记得他们当前的密码。

3 个答案:

答案 0 :(得分:1)

推荐的方法是发送一个有限时间哈希的网址,该网址有效期为15 - 30分钟,并在密码更改时被撤销。

如果信息非常安全,那么您可能想看看银行如何处理密码重置,这通常涉及电话和电话银行密码!

答案 1 :(得分:1)

例如

  1. 发送一些代码给短信(你有的东西 - 电话)
  2. 让相关人员确认您的身份(社交网络,信任网站)/您是/
  3. 通过蜗牛邮件发送代码/您是/
  4. 实时操作员电话(您知道的事情)
  5. 但其中一些人很容易受到社会工程攻击。最安全的是当你知道某些事情并且你有什么东西而你是某种东西时。但很难实现。

答案 2 :(得分:0)

注册过程中始终存在安全问题。您可以使用它来重置密码。 您也可以阅读this旧帖子。