email - 网站用户重置密码的安全有效方法是什么？

Question

许多网站实现不同的方法，我很难决定哪种方法最适合我的网站。

我的用户配置文件包含以下数据:

username
password (in hash/digest form)
email

我希望密码重置方法安全、用户友好且高效。

Answer 1

您应该添加两个字段，reset_code 和 reset_expiry

这是安全密码重置功能的过程。

用户选择“忘记密码”。

用户提示输入电子邮件/用户名。

如果有效，则生成一个 GUID，并将其存储在 reset_code 中，并将 Now()+24 hours 存储在数据库中针对该特定用户的 reset_expiry 中。

然后它会向该电子邮件地址发送一封电子邮件，其中包含确认密码重置的链接。这封电子邮件将包含一个指向您网站的链接，其中包含用户的用户名和 reset_code。 (这可以阻止恶意用户仅通过知道他们的电子邮件来重置第三方密码)

一旦用户点击电子邮件中的链接，他们将被定向到您的网站。
您的网站将验证:用户名和 reset_code 匹配，并且当前时间未超过 reset_expiry 时间。

如果一切正常，我们就可以完成密码重置。这可以通过以下任一方式完成:
a) 在屏幕上随机生成一个新的密码
b) 通过电子邮件随机生成的新密码
c) 输入他/她自己选择的密码的能力