作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在向我的网页游戏添加“更改密码”功能 http://ninjawars.net ,目前有固定的(并且基本上不会改变)密码。
我想避免把事情弄得一团糟,所以我想确保我拥有基本的安全基础。
根据我可以从 Facebook 的做事方式中汲取的经验,需要记住的几点要点是:
Facebook 还:
- 要求新密码与过去的密码不同。 (似乎是边缘情况使用)
这些只是我可以从 Facebook 帐户系统的外部 UI 收集到的政策。在提供“更改密码”系统时,我还应该考虑哪些其他安全点?
编辑:在我的具体情况下,我打算相对宽松地使用[插入各种标准]来确定密码本身必须包含哪些字符。我的网站不是银行,如果玩家想要使用密码“password1”,那么他们应该预料到他们的帐户会被他们的 friend 接管。另一方面,我的重点是确保我的网站能够防止通过密码更改系统本身中任何类型的不安全性进行“恶意收购”。
以下答案中有更多优点:
最佳答案
将密码的更改与电子邮件地址的任何更改分开保存。这样,任何想要改变其中任何一个的人都必须知道两者。
当用户请求更改密码时,请通过电子邮件向他们发送该页面的链接。这将确认他们是该帐户的所有者,并在有人尝试访问其帐户时向他们发出警报。然后,当密码更改后,请通过电子邮件向他们发送确认信息。
关于security - 创建 "change your password"功能时应采取哪些安全措施?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3747516/
我是一名优秀的程序员,十分优秀!