我使用Asp.Net Identity生成密码重置令牌.
string Token = userManager.GeneratePasswordResetToken(userId);
解决方法
您的密码重置令牌需要加密随机 – 这意味着给定一组使用过的令牌,下一个令牌应该是无法猜测的.它还需要覆盖一组足够大的可能值,这些暴力尝试所有这些值都是不切实际的慢.
您可以进行更改以使后者使用较小的可能值集合 – 例如,您可以在检查令牌之前向密码重置页面/操作添加1秒延迟.您的用户几乎不会注意到很少使用的页面上的延迟,但攻击者将无法快速尝试大量令牌.
所以,首先你需要获得一个加密随机数:
var random = new byte[8];
using (var rng = System.Security.Cryptography.RandomNumberGenerator.Create())
rng.GetBytes(random);
我在这里放了8个字节,但你可以根据需要设置它.
接下来,您需要将其变成一个漂亮的可复制粘贴字符串.您可以使用unicode转换执行此操作,但我发现base 64更可靠:
Convert.ToBase64String(random).TrimEnd('=');
使用8个字节将为您提供64位可能的值和10个字符串.使用4将为您提供32位(可能在低安全性站点上进行慢速令牌检查)和5个字符串.
