1
我目前正在开发一个允许用户使用密码登录的c#web应用程序。我需要包含的功能是忘记密码功能。什么是忘记密码过程的最佳做法?
什么是忘记密码的推荐流程?
我正在考虑这个:
- 用户点击忘记密码,请输入电子邮件地址
- 电子邮件发送
- 点击链接的电子邮件(链接只有一次有效时间内)
- 采取并要求输入新的密码(他们是否也应答安全问题?)
- 密码更改,邮件发送给此类用户
- 用户现在可以用新密码登录
A
回答
3
你的点子看起来坚实,但我想补充一些其他方面的考虑:
- 确保您在电子邮件中使用生成的令牌使用为随机化而设计的.Net Framework加密类,不是那种看起来是随机的,但不是为此目的而设计的。
- 对发送重置电子邮件的帐户不采取任何操作(否则,如果他们知道他们的电子邮件,人们将能够锁定其他人的帐户)
- 添加限速器,可以为每小时生成多少次重置给定的电子邮件。否则,有人可以通过以下方式对用户进行DOS操作:(a)使用x错误密码来锁定帐户,然后(b)为他们生成重置电子邮件的速度比电子邮件系统所能提供的更快。
- 尽可能地推迟到其他系统,如OpenID。当你推出自己的产品时很容易出错。
0
我们有两种方法来检索忘记密码: 1.通过注册电子邮件ID 2.通过注册的手机号码
注册的电子邮件ID:
一个。要求用户提供注册邮箱编号
b。系统检查提供的电子邮件ID是否在数据库中可用
c。如果电子邮件ID在数据库中存在,系统将发送电子邮件以重置密码,但如果电子邮件ID不在数据库中,则系统会显示警报消息。 d)。用户必须在重置忘记密码的同时提供强密码。
e。密码重置成功,并且相对于电子邮件ID也在数据库中发生更改。
注册手机号码:
的过程与电子邮件,但是在这种情况下几乎相同,OTP将在注册手机号码发送。 我们需要整合第三方SDK,或者我们可以在IOS中使用imessage。
相关问题
- 1. 实现忘记密码功能的最佳方式是什么?
- 2. 实施“忘记密码”的最佳方式是什么?页?
- 3. 重置已忘记的用户密码的最佳做法
- 4. 支付网页密码输入的最佳做法是什么?
- 5. 密码发布的最佳做法是什么?
- 6. mvc2确认密码字段的最佳做法是什么?
- 7. 最佳做法是什么?
- 8. 忘记密码
- 9. log4cxx的最佳做法是什么?
- 10. 什么是ViewModel的最佳做法
- 11. 在codeigniter中加密密码的最佳方法是什么
- 12. 在独立应用程序中处理“忘记密码”的最佳方法
- 13. MariaDB加密的最佳做法是什么?
- 14. 在.NET中加密数据的最佳做法是什么?
- 15. 检测像素比率/密度的最佳做法是什么?
- 16. 保护git仓库秘密的最佳做法是什么?
- 17. HMAC解决方案中密钥的使用(最佳/最佳做法)是什么?
- 18. 用CouchDB和Backbone.js提供遗忘密码功能的最佳方式是什么?
- 19. Nginx和runit ....什么是最佳做法
- 20. WCF休息 - 最佳做法是什么?
- 21. ASP.NET缓存,什么是最佳做法
- 22. 记录用户活动的最佳做法是什么?
- 23. 记录错误的最佳做法是什么?
- 24. 在批处理中使用密码短语的最佳做法是什么?
- 25. 处理密码和配置文件的最佳做法是什么?
- 26. 使用C#设置功能保存密码时的最佳做法是什么?
- 27. 在iPhone上存储用户名和密码的最佳做法是什么?
- 28. 什么是omniauth和电子邮件密码注册的最佳做法?
- 29. 忘记密码URL
- 30. CakePHP忘记密码
这些都是很好的观点,只有在x登录失败后锁定账户的观点值得商榷。我永远不会锁定一个帐户,因为登录不良,只会延迟下一次可能的登录来阻止暴力强制。用垃圾邮件向用户发送垃圾邮件也不成问题,使用匿名电子邮件帐户的普通电子邮件将垃圾邮件发送给他是很容易的。 – martinstoeckli