我们有一个密码重置Web应用程序。应用程序向备用电子邮件发送确认代码。我的经理认为,如果您必须输入代码,那么包含页面链接并不是一个好主意。
我看到了他的论点。然而,帮助台已经被那些对这个过程感到困惑的用户感到不知所措。我假设这是因为我们的许多用户只使用一个选项卡/窗口浏览并导航出我们的Web应用程序,以检查他们的电子邮件中是否有确认码。
我的问题:我们应该如何解决这个问题?我想减轻帮助台,反过来,让我们的用户免费使用该过程。有什么建议吗?
他认为我们通过培训用户点击来自无法验证的发件人的链接(在这种情况下,它是带有“无回复”地址的自动消息)来对用户造成伤害。反过来,这会使用户更容易受到网络钓鱼攻击的影响,我们在组织中遇到了很多问题。
答案 0 :(得分:1)
最重要的是选择在电子邮件主题中使用唯一标识符,让客户回复该邮件。
然后,自动脚本检查'password-forgotten@mycompany.de'以查找主题为“Re:忘记密码?”的电子邮件? [唯一身份]'。然后该脚本将向他们发送新密码。
由于大多数用户在点击“回复”时不会修改主题并且不会执行“撰写新邮件”并手动输入收件人地址,因此可能会很大,收到“密码忘记”的邮件会有这个主题中的UNIQUEID。
Plus帮助台只会帮助那些实际修改电子邮件“主题”的人。 ; - )
但是有安全考虑因素。也许你的经理可能会争辩说,任何人都可能发送伪造的“Forgor你的密码”邮件,并将“回复”标题设置为攻击者的地址。处理脚本必须拦截这些伪造的尝试......
答案 1 :(得分:1)
我认为发送链接是执行此操作的标准方法。如果客户真的担心这个电子邮件帐户的完整性,他最好先把它整理好。
基本上,你没有通过发送链接获得额外的安全性,但你获得了很多安慰。就像其他人一样 - 把它放在那里(时间有限)。
答案 2 :(得分:0)
我认为没有理由不应该包含链接,特别是如果代码类似于哈希,因为有人破解的可能性很小甚至没有。
但是,您可以为插入代码的页面添加额外的保护,并将尝试次数限制为3次。为了获得更多保护,请将电子邮件地址发送到该页面,并允许3次尝试每个电子邮件地址而不是3次尝试/ IP,可以轻松绕过。