Web应用程序 – 现代Web应用程序中密码检索的有效技术

前端之家收集整理的这篇文章主要介绍了Web应用程序 – 现代Web应用程序中密码检索的有效技术前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们一直在使用Web应用程序,在那里我们需要实现传统的Web应用程序的密码检索功能。根据趋势有一些方法,如..

>发送密码重置链接用户的电子邮件
>向用户询问密码恢复问题。
>重置现有密码并创建新密码并将其发送给用户。这也可能迫使用户在下次登录时更改密码。

我们是否有任何非传统技术来实现密码检索机制?您为此尝试了哪些其他方法

谢谢。

解决方法

这取决于您正在瞄准的安全级别,支持成本和可用性问题。

通过电子邮件发送密码重置链接是首选的方法,原因如下:

>支持成本 – 从业务角度来看,这是最大的因素。用户经常忘记密码提示或使用假邮件地址或忘记用户名。所有这些都是您可以获得支持请求的合法问题。这反过来又创造了另一个问题,您必须通过向他们询问最近的帐户活动以及没有建立用户的合法性。如果你不提供这个级别的支持,很多新手的用户将会失望。通过电子邮件发送密码重置链接可以减轻这些担忧,因为用户通常会有一个或两个电子邮件地址,他们可以通过提供他们的电子邮件地址轻松恢复用户名/密码。>安全问题 – 从技术角度来看,这是最大的因素。这里有各种各样的问题需要衡量。受损的电子邮件帐户意味着黑客可以访问所有用户的服务,允许通过电子邮件发送密码重置链接。您可以通过电子邮件将密码重置链接发送给用户,然后再向用户发出密码提示问题,然后允许他们重置密码。再次,你不应该在任何媒体上暴露用户的密码。事实上,如果您有能力向他们显示密码,那么您的系统已经不安全,因为它意味着您不会使用像SHA-1这样的安全哈希存储他们,并且您公司的开发人员可以获得所有人的密码。>可用性 – 从用户角度来看,这是最大的因素。发送密码重置链接要求用户去查看他们的电子邮件地址,这意味着实现任务的时间可以达到2甚至3分钟。不过,我认为这不算什么大事。大多数用户似乎并不介意这一点,因为他们认为他们是错误的,这是一个安全措施的最佳利益。我只是假设个人经验,用户一般可能会有所不同。我将安全性作为比用户体验更高的优先级,因为用户很少需要检索他们的密码(用户长时间没有登录,忘记了他的密码;用户已经在重新安装的浏览器中保存了密码,一些其他边缘案例)。

猜你在找的HTML相关文章