حرفه ای: متد امن برای ریست کردن رمز عبور [بایگانی]

View Full Version : حرفه ای: متد امن برای ریست کردن رمز عبور

فؤاد

سه شنبه 03 آذر 1388, 15:07 عصر

سلام

رمز عبور کاربران سایتی بصورت هش شده (md5) در بانک اطلاعاتی ذخیره شده

از آنجا که رمز عبور کاربران غیر قابل بازخوانی هستند (کد شده به صورت غیر قابل بازگشت) در این حالت امکان بازیابی رمز عبور توسط کاربران وجود نخواهد داشت / یعنی نمیتوان برای کاربر رمز فعلیش را ارسال کرد

خب در این جا باید از کاربر بخواهیم که رمز عبورش را تغییر دهد / پس از اینکه کاربر ایمیل خود را که هنگام ثبت نام وارد کرده را وارد کرد برای ایمیل وی پیامی ارسال میشود که ظاهرا شما درخواست تغییر و ریست کردن رمز عبور خود را داشته اید / در صورت تایید روی لینک زیر کلیک کنید / پس از کلیک کاربر روی لینک مذکور رمز جدیدی برای وی ایمیل خواهد شد.

کوئری استرینگ لینکی که به کاربر ایمیل میشود باید حاوی یوزر آیدی کاربر باشد / سوال اینکه چطور این کوئری استرینگ را امن کنیم که مورد سوء استفاده قرار نگیرد ؟

در صورت اینکه نام یوزر را بصورت کد نشده توسط کوئری استرینگ ارسال کنیم که اول مصیبت خواهد بود و هر کسی که از راه برسه براحتی میتونه پسورد خلق الله را ریست کنه

عاقلانه به نظر میرسد که باید کوئری استرینگ حاوی یوزر کاربر کد شود / آیا نمیتوان با کمی تلاش فرمول دیکود کردن را بدست آورد ؟ شما چه راه حلی پیشنهاد میکنید ؟

با تشکر

binyaz2003

سه شنبه 03 آذر 1388, 18:35 عصر

من پيشنهاد ميکنم يک پسورد موقت مثلا براي مدت 12 ساعت خودتون رندوم بسازيد و به ايميل کاربر بفرستيد.اگر تا قبل از 12 ساعت با اون لوگين کرد که همون بعنوان اصلي ذخيره ميشه اگر نه که پسورد موقت پاک ميشه.
که البته اين ايجاد دو فيلد جديد رو ميطلبه.

aryaei2000

سه شنبه 03 آذر 1388, 23:48 عصر

به نظر من اول آدرس ایمیل طرف رو بگیرید بعد مطمئن بشید که در بانک اطلاعاتی وجود داره و سپس یک رمز رندم رو براش تولید کنید.بعد اون رمز عبور رو به ایمیل طرف بفرستید و همزمان اون رو هش و به بانک اطلاعاتی وارد کنید.و طبق توصیه جناب binyaz بهتره رمز بعد از مدتی منقضی بشه.