security - 忘记密码过程的最佳做法是什么？

Question

我目前正在开发一个允许用户使用密码登录的 c# web 应用程序。我需要包含的一个功能是忘记密码功能。

忘记密码的推荐流程是什么？

我在考虑这个:

用户点击忘记密码，输入邮箱地址

已发送邮件

单击电子邮件中的链接(链接仅在一段时间内有效一次)

被带到网站并要求输入新密码(他们是否也应该回答安全问题？)

密码已更改，电子邮件已发送给该用户

用户现在可以使用新密码登录

Answer 1

您的想法看起来很可靠，但我会添加一些其他注意事项:

确保您在电子邮件中生成的 token 使用的是为随机化而设计的 .Net Framework 加密类，而不是看似随机但并非为此目的而设计的东西。

发送重置电子邮件后不对帐户采取任何操作(否则人们如果知道他们的电子邮件，就可以锁定其他人的帐户)

为给定的电子邮件添加每小时可以生成多少重置的速率限制器。否则，有人可以通过以下方式对用户进行 DOS 操作:(a) 使用 x 个错误密码锁定帐户，然后 (b) 为他们生成重置电子邮件的速度比电子邮件系统可以提供的速度更快。

在可能的情况下遵循其他系统，例如 OpenID。当你自己动手时，很容易出错。