gpt4 book ai didi

security - 为什么质询-响应方法是忘记密码的糟糕解决方案?

转载 作者:行者123 更新时间:2023-12-04 16:28:20 24 4
gpt4 key购买 nike

我的公司正在开发一个在线 HR 和薪资应用程序,其中安全访问至关重要。我很清楚如何锁定大多数身份验证/授权过程,但“忘记密码”页面除外。

我最初的计划是要求用户输入电子邮件地址和对先前选择/输入的挑战问题的回复,并将临时密码邮寄到列出的电子邮件(假设电子邮件有效)。但我读过herehere (都在SO上)挑战-响应方法是不安全的。

但是,如果我们只是通过电子邮件发送临时密码,真的那么不安全吗?我能想到的唯一更安全的选择是要求用户调用他们的客户服务代表,这会给我们的员工带来很大负担。

我错过了什么......有更好的方法吗?谢谢!

最佳答案

不要通过电子邮件发送临时密码,而是通过电子邮件向用户发送 URL+token 到重置密码页面。这样一来,任何密码都不会在未加密的情况下易手。如果他们尝试访问该页面并且重置 token 已被使用,最终用户也会立即发现他们的帐户已被盗用。

从评论中添加:

我认为挑战-响应(“ secret 问题”)方面实际上使事情变得不那么安全,因为它们通常是可以通过研究有关目标的公共(public)信息发现的事情。步骤总数越少,在无人知晓的情况下可以破解的越少。让重置电子邮件尽早发送通常是让人们知道正在尝试的好方法。

关于security - 为什么质询-响应方法是忘记密码的糟糕解决方案?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/613619/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com