سلام
یه قسمتی تو سایتم دارم طراحی می کنم به نام فراموشی رمز عبور برای کاربران سایت. فقط یه مشکل دارم و اون اینه که من رمز عبور کاربران رو هنگام ثبت نام با متد hash در دیتابیس ذخیره می کنم. حالا اگه بخوام رمز عبوری که کاربر موقع ثبت نام وارد کرد رو بهش میل کنم نمی شه چون که طبق اطلاعاتی که من دارم تقریبا بازیابی متد hash غیر ممکن است.
حالا سوالم اینه که بعضی از سایت های بزرگی که من چک کردم دیدم وقتی روی فراموشی رمز عبور می ری و ایمیل رو می دی همون رمز عبور موقع ثبت نام رو بهت می دن. آیا این سایت ها رمز عبور کاربران رو موقع ثبت نام با متد hash ذخیره نکردن که الان می تون همون رمز عبور کاربرها رو براشون ایمیل کنند؟

و یه سوال دیگه این که ذخیره نکردن رمز عبور کاربرها با متد hash چه خطرات امنیتی رو داره؟

ممنون می شم دوستان مثل همیشه کمک کنند.

اصولا باید هش کرد ولی میشه انکریپت هم کرد یا میشه همونجور خشک و خالی ذخیره کرد.

هش رو نمیشه باز یابی کرد ولی وقتی یک رشته رو encrypt کرد میشه دوباره اون رو decrypt کرد.

به نظر من کار جالبی نیست ک پس ورد تغییر بدین و برای کاربر ارسال کنید
شما یه فیلد دیگه تو دیتا بیس تعریف کنید با عنوان activkey و یه یک مقدار هش شده را داخل اون ذخیره کنید(مثلا ترکیب کلمه عبور و زمان)

وقتی کاربر درخواست بازیابی کرد لینک شامل ایمل و همین activkey به ایمل کاربر ارسال کنید

و در بازگشت کاربر به سایتتون با لینک ارسالی شما ابتدا ایمیل چک کنید بعد اون activkey اگه هر دو درست بودن یا فرم تغییر کلمه عبور در اختیار کاربر قرار دهید یا اینکه خودتون کلمه عبور تغییر بدین و براش ایمیل کنید

فقط فراموش نکنید در هر حالت activkey جدید تولید کرده و جایگزین کنید ک کاربر با اون لینک دوباره نتواند کلمه عبور بازیابی کند


اینم یه لینک شاید به کارتون بیاد http://megarush.net/forgot-password-php/