Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Восстановление пароля  (Прочитано 5824 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Dukalys
Гость
« : 20-03-2009 05:32 » 

Вот собственно интересует реализация данной темки. Хотелось бы узнать про опасности и безопасности различных методов восстановления пароля.
Прошёлся по сайтам посмотрел как у людей сделано с точки зрения безопасности интерфейса пришёл к мнению что нужно запрашивать логин и почтовый адрес можно капчу картинку чтобы не "спамили особо одарённые".
А вот как реализовать сам процесс восстановления??
1. показать прямо человеку в браузере(опасно потому что достаточно знать логин и ящик и есть доступ под пользователем)
2. По правильным набранным данным формочки отослать новый сгенереный пароль на ящик юзеру
(почему данный метод считается опасным и чем собственно отличается от следующего)
3. А вот этот метод тоже не широко применяется но всё же интересно это излишняя безопасность или чтоже это?
после набора данных формы отправки и проверки данных по БД вам на ящик приходит уведомление о смене пароля и предлагается ссылка на восстановление, переходя по ссылке вам НЕ показывают пароль а говорят что типа произошла смена пароля зайдите на свой ящик. вот теперь уже точна произошла смена пароля и на ящик пришёл новый пароль.
4. И собственно интересует почему при восстановлении ГЕНЕРЯТ новый пароль?? а не оставляют старый ?

Собственно кто что может сказать по данной теме(есть ли скриптики готовые у кого  Ага ) также необходимо ведь соблюдать условие удобство юзеру / безопасность данных юзера , можно конечно и 10 ссылок делать перенаправляя одну на другую , но это уже  ... где он нынче баланс?
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 20-03-2009 07:33 » new

4. По большому счету паролю хранятся зашифрованные, что повышает безопасность. Потому и проще сгенерить новый пароль.

1. ты сам ответил

2 и 3 это уже зависит от уровня парнойи админов/хозяинов ресурса.
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #2 : 20-03-2009 07:34 » 

Dukalys, надо разделять два момента:
1. Забыт пароль.
2. Утерян доступ к регистрационной почте.

К ним и подход разный:
1. Слать на почту или, если есть какой-то контрольный вопрос-ответ, можно и на экране показать.
2. На экране или на новой почте.

Еще надо помнить о двух вещах: о злонамеренной попытке получить чужой аккаунт и о непреднамеренной ошибке (как владельца аккаунта, так и постороннего человека). Т.е. алгоритм не должен бить по невиновному, но должен противостоять вредителю. По этому, в тех случаях, когда посылается почта, лучше отсылать не новый (или старый) пароль, а ссылку, перейдя по которой инициируется процедура смены пароля (но до окончания процедуры должен действовать старый пароль).

В любом случае, для изменения аккаунта надо себя идентифицировать: регистрационная почта или известный только владельцу вопрос-ответ.

Это примерный набросок.
« Последнее редактирование: 20-03-2009 07:36 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines