问题描述

我已经看到了关于这个问题的各种问题，但还有几个问题没有被问到.如果用户忘记了他们的密码，我希望他们能够只用他们的电子邮件地址重置它(即没有安全问题/答案).密码存储为盐渍哈希，因此没有可能恢复.相反，我就像用户在确认他们要求重置后进入新密码.

已提及的常用方法是简单:

1)创建随机介管/加密的随机数

2)向用户的电子邮件发送包含随机数的唯一URL
地址

3)确认后，要求用户更改密码

但是，这不是一个开放到MITM攻击吗?如果在互联网上发送临时密码到电子邮件是不安全的，那么这样做是什么区别，并且只需发送攻击者可以导航到的唯一URL?
有没有错过任何一个关键的步骤，使这个系统更安全(或者有更好的重置密码的方法)?

感谢

推荐答案

如果正确构建哈希，则网址点击将来自请求重置的IP地址.这将需要MITM来欺骗IP和/或伪造标题.虽然这是可能的，但您可以识别所讨论的系统的哈希越突出，而”围绕”哈希越困难.

还建议我们是一定标准的单向哈希.还可以使用私钥解锁的公钥加密系统数据，以便单击URL时，此相同的公共加密系统数据必须伴随哈希，并且唯一可以取消提取这些值的系统在服务器上保存的私钥.基本上是哈希的psiedo-pki附件.

其他推荐答案

您的身份验证用户是共享秘密(密码).

如果用户忘记了该秘密，则需要一种建立新的共享秘密的方法.无论你怎么样它，你仍然有问题的问题，以便分享那个新秘密.

如果您唯一知道可用于验证它们的用户是他们的电子邮件地址，那么您需要某种方式来确认请求重置的用户是控制该电子邮件地址.

和唯一的方法要做到这一点是通过电子邮件发送给该电子邮件地址的秘密，并检查他们是否收到了它.

这总是会打开足够的偷偷摸摸的麻省攻击.

您未发送临时密码的原因是避免”用户不能打扰更改的问题，因此使用不安全的临时密码而不是自己的安全密码.”

其他推荐答案

减轻中间攻击中一个人的风险我使用以下措施:

• 重置请求只能使用一次.
• 如果未使用重置请求，则会在一小时后到期.
• 所有重置请求都是永久记录它是否最终完成或过期.

以上所述是小编给大家介绍的重置ASP.NET密码-安全问题？,希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对77isp云服务器技术网的支持！