Weboldal elfejeltett jelszó?
Mennyire ésszerű ez az elfelejtett jelszó folyamat?
1.User rákattint az elfelejtett jelszó linkre
2.Beírja az e-mail címét rákattint a küldés gombra
3. Ha az adatbázis regist táblájában megtalálja az email címet akkor átgenerálja a newpassword_code mezőt. A régi password md5 változata kerül bele
4. Ezután küld egy linket a megadott email címre aminek a vége így néz ki: ?usr=$user&code=$newpassword_code
5. Ha megnyitja és a GET usr illetve a GET code egy sorban van (ugyanahhoz a felhasználóhoz tartozik) akkor megjelenít egy formot ahol meg kell adni az új jelszavát és happy
Ebben lehet valami rizikó? Vagy van ennél jobb megoldás, a szerver által generált új jelszó helyett ami ehhez hasonló? :D Bocsi, így este jobb nem jutott eszembe, köszönöm előre is a válaszokat!
Köszönöm a válaszokat, tegnap este megcsináltam.
1. Megadja a felhasználónevét és e-mail címét, ha ez a kettő egy júzerhez tartozik akkor generál egy kódot (nem jelszót) amit eltárol az user_newpwd oszlopban 15 percig. Kiküld egy linket az e-mail címre ami tartalmazza a felhasználónevet és az user_newpwd-ben lévő kódot. Ha rákattint és ez a kettő egy felhasználóhoz tartozik akkor beadja azt a formot ahol megtudja változtatni a jelszavát és happy.Ha megváltoztatta akkor az oszlopból törli az user_newpwd értékét a felhasználónál.
egy túrót korrekt. így a rendszered semmit sem véd attól ha megszerzem az email fiókját. kérek egy új jelszót, és az email-jén át megszereztem a te rendszeredhez is a hozzáférést. ez így ha tizes skálán nézzük akkor kettes megoldása a dolognak.
helyesebb megoldáshoz jutsz ha
1 készitesz egy egyszer használható url-t, ami kellően rövid ideig él
2 az url-t elküldöd neki levélben
3 az url-en bekérsz tőle olyan adatot is ami nem látszik az adatlapján, ellenben kötelező megadni
4 ha stimmel a 3. pont akkor lecseréled az új jelszóra a régit
de
mi van ha valaki csak ellopta? mentsd el a régit és
5 ha ezzel a régivel próbál valaki belépni akkor kérd el tőle a 3 pont titkos dolgát
6 megváltoztathatja a jelszavát.
ezek nélkül egy internetkávézóban ott felejtett gmail ablak is elég ahhoz hogy elveszitse a hozzáférését nemcsak az email fiókjához, de a te rendszeredhez is.
persze lehet kókányolni és az egyszerűségre gyúrni - de az olyan is
#13: szerinted ha a jelszavára nem emlékszik, emlékezni fog más "lényegtelen" adatra, hogy mit adott meg...
Miért nem kérsz tőle személyigazolványt és erkölcsi bizonyítványt!? :-D
Az általad vázolt procedúrával ha csak a jelszót felejtette el, a felhasználók többsége inkább újra regisztrálna másik email címmel, vagy hagyná azt ...
Ami meg egyenesen ügyfél vesztést okoz.
Ha pedig olyan hüle hogy bejelentkezve hagyja magát, akkor meg... Semmit se ér a jleszó.
igen, kedves kérdező, mint user megszerzi a hozzáférést jogosulatlanul.
és például anyám nevét, első kutyám nevét, stb-t nem felejtem el, de nem is kötöm mindenki orrára. viszont egy kellően bonyolult (kesbetű, nagybetű, számok, jelek) és kellően hosszú jelszó kevésbé marad meg.
nem akarok ítéletet mondani, de htibor87 lelkes amatőrnek tűnik a szememben, aki ugyan nem szándékosan, de komoly réseket hagy a rendszerben. igen nagy hiba lenne mindösszesen egy (immár bizonyitottan) nem hozzáértő véleményére alapozni.
és bizony, a user baja ha elveszíti az email fiókját - például törlik 3 hónap inaktivitás után, nem is kell feltörni - de hogy emiatt egy másik rendszer is elérhetetlen legyen... kész agymenés
a gúnyolódás a személyivel és erkölcsivel meg roppant kisstilű. gondolom kifogytak a szakmai érvek. mindenesetre időről időre előbukkan az emlitett személyis ellenőrzés nagyobb site-oknál is, szóval ha valakit nevetségessé akartál tenni, akkor az csak a hozzászólásod lett.
Csak az a gond hogy értelmetlenül bonyolítod túl.
Egy kis portálnál, ahol max a nevében tudnak kommentálni,
mi értelme lenne ilyen többszintű rendszernek!?
+ felhasználót is taszítaná ha kiskutya, és vagy anyja nevét is bekéregeted.
Már ha valósat adná meg és nem valami fals adatott.
Mert ugye a felhasználó lusta álat fajta. :-)
így "nem akarok ítéletet mondani, de" TE " lelkes amatőrnek", nincs gyakorlatod ilyen rendszerekben, hogy mit szabad és mi az ami már túlzás. ;-)
De akkor már mit anyja neve, meg kis kedvenc.
Kérjük el regisztrációkor telefonszámát, és ellenörző kódot küldjük ki mint banki tranzakciókor, hisz egy SMS Gateway nem túl drága (pár ezerből meg lehet egész évre), de mikor megváltoztatja a jelszavát, fényképes igazolványt is kérjük be, ezzel is hitelesítve hogy az adatok valósak...
Lehetne bonyolítani, de értelmetlen, csak azért hogy XY nevében kommentálhassanak.
Amit javasolsz már inkább paranoid élmázavarral küszködöknek való. :-D
néhány ilyen rendszer kiesett a kezem közül, és néhányat ilyen bakiktól kellett mentesítenem. messze más szinten vagyunk, ezért teljesen felesleges hogy győzködjelek. bár a napnál is világosabb, hogy továbbra sem tudtál felhozni egyetlen szakmai érvet sem, ami pedig ékesen példázza a hozzá - nem - értésedet. mindazonáltal mivel kezd parttalan lenni a dolog, maradjunk a
jóvanazúgy
megoldásnál, és reméljük hogy nem találja meg az oldalt a hírhedt hekker: Drop Table mondjuk egyszerre két email címmel :)
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!